News eDellRoot: Dell entschuldigt sich für Sicherheitsleck durch Zertifikat

Nach Lenovo und Samsung hat nun auch Dell in diesem Jahr durch vorinstallierte Software für negative Schlagzeilen gesorgt. Das auf Dell-PCs vorinstallierte Root-Zertifikat eDellRoot entpuppte sich als Sicherheitslücke. Inzwischen hat Dell den Fehler eingeräumt und sich entschuldigt.

Zur News: eDellRoot: Dell entschuldigt sich für Sicherheitsleck durch Zertifikat

Der Vorfall erinnert an den „Superfish-Skandal“ bei Lenovo.

Zum Vergrößern anklicken....

Nicht nur das, sondern vorallem das:
https://www.techdirt.com/articles/20150812/11395231925/lenovo-busted-stealthily-installing-crapware-via-bios-fresh-windows-installs.shtml
Nach der Installation über uefi kommt das zum WindowsBS zurück. Danke Intel!

Das Zertifikat war auch aktiv auf meinem Dell XPS13 2015 mit Broadwell CPU.
Immer wieder erschreckend, wie wenig Priorität IT-Sicherheit geniesst. Lenovo habe ich bewusst gemieden bei der Kaufentscheidung aufgrund des Skandals (das Yoga mit 11" war eigentlich schon fast gekauft). Dell ist für mich auch angezählt. Auch wenn ich hier keinen bewussten Betrug am Kunden sehen will wie bei Lenovo, ist es doch haarsträubend schlechte Arbeit von Dell.

In der News kommt es etwas schlecht raus (ich hoffe ich gebe es korrekt wieder):
Es geht um SSL-Verschlüsselung beim Zugriff auf HTTPS-Websites. Das Zertifikat von Dell beinhaltet nicht nur den Schlüssel,um das Zertifikat der Website als vertrauenswürdig zu identifizieren, sondern auch direkt den Schlüssel um das Website-Zertifikat selber zu erstellen.
Surft man nun zB eine Bankseite an, kann, per man in the middle attacke, eine andere seite untergeschoben werden. Diese hat jedoch ein gefaktes, aber dank dell root zertifikat, gültiges Banken Zertifikat. der browser attestiert der gefakten bank seite also ein gültiges zertifikat und kann somit den verschlüsselten Datenverkehr entschlüsseln, ohne das der Anwender etwas bemerkt (browser Warnung bleibt aus).
Ich weiss nur nicht, wie es sich mit Firefox verhält, da dieser wohl eine eigene zertifikatsverwaltung hat.

schlechte Arbeit von Dell

Zum Vergrößern anklicken....

Ganz ehrlich, Aluhut auf, aber ich denke dieses Verhalten ist Vorsatz. Es gab ja auch die Systemrouter mit Hardwarebackdoor, so ein Zertifikat passt da auch gut ins Schema. Aber Beweis das mal...

Das Zertifikat soll Teil eines Support-Tools sein? Alles nur ein dummer Zufall? Ok, Dell....

Da wird die komplette SSL/TLS-Verschlüsselung ausgehebelt und man bekommt den Umstand selber gar nicht mit? Sorry, aber entweder lügt Dell dreist, oder wir sehen hier den unglaublichsten "Zufall meets Inkompetenz"-IT-Vorfall der letzten Jahre...

lolololol schrieb:

Ganz ehrlich, Aluhut auf, aber ich denke dieses Verhalten ist Vorsatz. Es gab ja auch die Systemrouter mit Hardwarebackdoor, so ein Zertifikat passt da auch gut ins Schema. Aber Beweis das mal...

Zum Vergrößern anklicken....

Verschwörungstheorien können halt wahr sein, aber genauso gut auch nicht. Eben weil man es kaum beweisen kann. Daher will ich mich damit gar nicht aufhalten. Zumindest nicht in dem Fall. Ich traue es hier Dell tatsächlich zu, einfach inkompetent gehandelt zu haben.
Ein Geheimdienst hat ja auch ganz andere Möglichkeiten, sich Zertifikate ausstellen zu lassen. Die brauchen so einen offensichtlichen Weg gar nicht.

lolololol schrieb:

Ganz ehrlich, Aluhut auf, aber ich denke dieses Verhalten ist Vorsatz. Es gab ja auch die Systemrouter mit Hardwarebackdoor, so ein Zertifikat passt da auch gut ins Schema. Aber Beweis das mal...

Zum Vergrößern anklicken....

Darum als RouterOS nur freie Software brauchen.

Cr4y schrieb:

Ich traue es hier Dell tatsächlich zu, einfach inkompetent gehandelt zu haben.

Zum Vergrößern anklicken....

Ich nicht. Sowas ist eine Riesensauerei und Dell damit für mich gestorben.

P.S. Habe übrigens ein Dell XPS 13 (2016) auf der Arbeit und hätte mir das beinahe auch privat geholt, weil eigentlich sehr geil...

Gibt wohl nen Grund warum man generell, mit eigener ISO, eine saubere Installation ohne Hersteller-Tools machen sollte.
Es gibt genug Arten und Weisen das selber zu erlernen (Google) oder jemanden zu Fragen es einem beizubringen (Google) oder gar für einen zu übernehmen (der "IT-Guru von Nebenan", ders für ein Trinkgeld macht).
Ja, im Lenovo Fall hätte man trotzdem Software nachinstalliert bekommen, ist ja zum Glück noch nicht bei allen Anbietern Gang und Gäbe.

Wohl doch nicht so edel(l)...

Hatte auch 2 Dell Rechner über die Jahre und benutze die Tastatur immer noch...eigentlich Top Zeug. Auch die Software bzw. standardmäßige Windows Konfiguration war Vorbildlich. Ich musste so gut wie nichts einstellen. Alle Sicherheitskritischen Dienste waren bereits deaktiviert und alle Einstellungen, die ich sonst direkt nach einer Neuinstallation vornehme, waren bereits eingestellt.
Das hier ist ein bedauerlicher Fauxpas..

Artikel-Update: Ein weiteres potentiell gefährliches Root-Zertifikat mit dem Namen DSDTestProvider wurde auf Dell-Computern entdeckt. Der Schnelltest von Hanno Böck untersucht Systeme nun auch auf dieses.

Ein Dell-Sprecher erklärte gegenüber heise online, dass das Zertifikat Teil der Support-Anwendung Dell System Detect sei und lediglich optional installiert wurde. Angeblich seien nur Nutzer betroffen, „die den Dell-Support zwischen dem 20. Oktober und 24. November dieses Jahres genutzt haben“. Eine neue Version von Dell System Detect soll ohne das Root-Zertifikat auskommen.

Na prima - bin mal gespannt was jetzt noch kommt.

Gleich mal die Lappis testen - Sch.....

Ich habe diese Zertikate entweder gelöscht oder gar nicht auf dem Inspiron gehabt, aber das Prüftool unter Edge warnt immer noch. WTF?