0 comments

Atentie la seria Dell XPS 13 – Posibil ca acest model sa vina preinstalat cu spyware

by on 23/11/2015
 

Pentru multi dintre cititorii nostri, conceptul de Air Gap computer este posibil sa fie cunoscut. Pentru cei care nu sunt familiari cu terminologia, un terminal Air Gap este un dispozitiv care nu a fost conectat la internet niciodata, in general fiind folosit pentru a viziona si prelucra date „sensibile”.

Problema este ca in acest moment din ce in ce mai multe companii instaleaza spyware in dispozitive, Lenovo, spre exemplu, fiind prins cu mana in borcanul cu bomboane. Dell este ultima companie pe care un utilizator de pe Reddit a indicat-o ca preinstaland spyware din fabrica. 

Rotorcowboy, a postat in urma cu doar cateva ore urmatorul mesaj:

„Mi-am cumparat un laptop Dell XPS 15, iar in timp ce incercam sa rezolv o problema, am descoperit ca sistemul a venit pre-instalat cu un Root certificate numit eDellRoot. Odata cu el, este disponibila si cheia privata (parola), marcata ca fiind non-exportabila. Este posibil totusi sa obtii o copie raw a acestei parole, utilizand mai multe tool-uri (eu am utilziat tool-ul de jailbreak de la NCC Group). Am discutat situatia pe scurt cu altcineva care facuse aceeasi descoperire, si-am concluzionat ca fiecare laptop de la Dell este vandut cu acelasi certificat de root si aceeasi cheie, intr-un mod similar cu Superfish de pe calculatoarele Lenovo. Pentru cei care nu sunt foarte familiari cu aceasta probleme, aceasta este o vulnerabilitate majora de securitate care pune in pericol tot clientii Dell recenti.Dell

Cu siguranta Dell trebuie sa fi vazut presa nefavorabila pe care a primit-o Lenovo cand au descoperit oamenii ce face Superfish. Cu toate acestea, au decis sa faca acelasi lucru, doar ca mai rau. Aici nu este vorba de o aplicatie third-party, are legatura cu bloatware-ul de la Dell. Colac peste pupaza, nici nu prea este clar care-i scopul acestui certificat. Cel putin in prinvinta Superfish, stiam ca certificatul lor de root era folosit pentru a injecta reclame in paginile dumneavoastra web; motivul pentru certificatul de la Dell este neclar.

Daca ati achizitionat recent un calculator de la Dell si vreti sa vedeti daca sunteti afectati de acest certificat mergeti la Start -> scrieti „certmgr.msc” -> (acceptati la promptul UAC) -> Trusted Root Certification Authorities -> Certificates si verificati daca aveti o intrare cu numele de „eDellRoot”. Daca vedeti aceasta intrare, atunci felicitari, Dell tocmai v-a facut-o!

Iata un link catre certificat, cheia privata si fisierul PFX pentru certificat, pe care le-am gasit pe laptopul meu. Parola pentru fisierul PFX este „dell”. (Certificatul insusi este in fisierul eDellRoot.crt. NU IMPORTATI fisierul PFX decat daca stiti ce faceti. Eu l-am inclus aici pentru comoditatea dumneavoastra.) Daca si dumneavoastra aveti certificatul eDellRoot, amprenta acestuia probabil va fi:

98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

Iar numarul serial:

6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

Este deranjat ca Dell face asta, in ciuda backlash-ului suferit de Lenovo din partea clientilor sai, precum si Departamentul Sigurantei Nationale a Statelor Unite (Homeland Security), si sper sa faca ceva foarte repede pentru a corecta greseala. Cu cat mai multa lume devine constienta de problema si face acest lucru public, cu atat se va rezolva mai repede.”

Varianta in engleza: 

I got a shiny new XPS 15 laptop from Dell, and while attempting to troubleshoot a problem, I discovered that it came pre-loaded with a self-signed root CA by the name of eDellRoot. With it came its private key, marked as non-exportable. However, it is still possible to obtain a raw copy of the private key by using several tools available (I used NCC Group’s Jailbreak tool). After briefly discussing this with someone else who had discovered this too, we determined that they are shipping every laptop they distribute with the exact same root certificate and private key, very similar to what Superfish did on Lenovo computers. For those that aren’t familiar, this is a major security vulnerability that endangers all recent Dell customers.

Surely Dell had to have seen what kind of bad press Lenovo got when people discovered what Superfish was up to. Yet, they decided to do the same thing but worse. This isn’t even a third-party application that placed it there; it’s from Dell’s very own bloatware. To add insult to injury, it’s not even apparent what purpose the certificate serves. At least with Superfish we knew that their rogue root CA was needed to inject ads into your web pages; the reason Dell’s is there is unclear.

If you have recently bought a Dell computer and want to see if you are affected by this, go to Start -> type „certmgr.msc” -> (accept on UAC prompt) -> Trusted Root Certification Authorities -> Certificates and check if you have an entry with the name „eDellRoot”. If so, congratulations, you’ve been pwned by Dell, the very company you paid for your computer!

Here is a link to the certificate, private key, and PFX file for the certificate I found on my machine. The password for the PFX file is „dell”. (The certificate itself is in the eDellRoot.crt file. Do NOT import the PFX file unless you know what you’re doing. I just included it for convenience.) If yours came with the eDellRoot certificate, its thumbprint will probably be:

98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

And its serial number:

6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

It’s upsetting that Dell would do this despite the backlash Lenovo experienced from its customers and the US Department of Homeland Security, and I really hope they quickly do something to correct this. The more people that know and speak up, the faster it will happen.

In cuvinte mai simple, ceea ce au facut Dell este sa instaleze un Root, acesta dovedindu-se a fi o bresa de securitate cat Casa Poporului, backdoor-ul putandu-se accesa de oricine are sau stie de aceast program preinstalat. Good Job Dell! Poate asa pe viitor invatam ca trebuie sa scoatem manual hard-ul din PC sau Laptop-ul proaspat achizitionat si sa il formatam cu ciocanelul! Vorba autorului! 

[Reddit]