Dell instala certificado raiz autoassinado em laptops, colocando em risco a privacidade dos usuários

Os laptops da Dell vêm com um certificado digital raiz autoassinado que permite que os invasores espionem o tráfego para qualquer site seguro.

Os relatórios surgiram pela primeira vez no Reddit e logo foram confirmados por outros usuários e especialistas em segurança no Twitter e blogs. O certificado raiz, que tem o poder de uma autoridade de certificação nos laptops nos quais está instalado, vem com sua chave privada correspondente, piorando a situação.

Com a chave privada, que agora está disponível on-line, qualquer um pode gerar um certificado para qualquer site que seja de confiança de navegadores como o Internet Explorer e o Google Chrome que usam o armazenamento de certificados do Windows em laptops afetados. Especialistas em segurança já geraram certificados de prova de conceito para * .google.com e bankofamerica.com.

[Outras leituras: Como remover malware do seu PC com Windows]

O certificado, chamado eDellRoot, foi adicionada a dispositivos comerciais e de consumo da Dell a partir de agosto com a intenção de oferecer melhor suporte ao cliente, a Dell informou em comunicado enviado por e-mail: "Quando um PC interage com o suporte on-line da Dell, o certificado fornece a etiqueta de serviço do sistema para identificar imediatamente o modelo do PC, drivers, sistema operacional, disco rígido, etc. tornando o serviço mais fácil e rápido. "

O certificado introduziu uma vulnerabilidade não intencional, portanto, a Dell está fornecendo aos clientes instruções de remoção e não os adicionará a novos dispositivos para a frente, a empresa disse. "Nenhuma informação pessoal foi coletada ou compartilhada pela Dell sem a permissão do cliente."

Mark Loman, criador do programa anti-malware HitmanPro, confirmou que o certificado auto-assinado é o mesmo em todos os laptops Dell afetados e a mesma chave privada.

Sua empresa, a SurfRight, já está rastreando centenas de sistemas que possuem o certificado eDellRoot instalado.

"Temos o Hitman em alerta máximo para tirar o certificado das máquinas em breve", disse Loman via Skype.

O especialista em segurança acredita que a Dell ou a Microsoft devem agir em breve, antes que hackers mal-intencionados comecem a atacar usuários. A Microsoft tem a capacidade de enviar uma atualização para os sistemas Windows para remover o certificado.

Para explorar o problema, os invasores devem estar em posição de interceptar o tráfego de um laptop da Dell afetado e um site habilitado para HTTPS. Eles podem atuar como proxy entre o laptop e o site, criptografando novamente o tráfego com um certificado não autorizado que é assinado com a chave privada eDellRoot.

Isso é conhecido como um ataque man-in-the-middle e pode ser executado em redes Wi-Fi públicas ou invadindo roteadores.

Os invasores também podem usar a chave privada eDellRoot para assinar malware. Isso poderia contornar certos produtos whitelisting de aplicativos ou, pelo menos, poderia fazer menos alerta de controle de acesso do usuário no Windows, disse Loman.

"Se eu fosse um hacker black-hat, eu iria imediatamente para o grande aeroporto da cidade e sentar-se fora dos salões de primeira classe internacionais e espionar as comunicações criptografadas de todos ", disse Robert Graham, CEO da empresa de segurança Errata Security em um post no blog. "Eu sugiro 'primeira classe internacional', porque se eles puderem pagar US $ 10.000 por um ingresso, eles provavelmente terão algo suculento em seu computador que vale a pena ser hackeado."

Graham descreve isso como um "bug de pânico".

Este incidente é semelhante ao que envolveu a Lenovo pré-carregando um programa de adware chamado Superfish em alguns de seus laptops. O adware Superfish instalou um certificado de CA raiz auto-assinado em todos os laptops nos quais foi pré-instalado, expondo os usuários a ataques man-in-the-middle.

Ainda não está claro quantos modelos foram afetados. Os usuários relataram encontrá-lo nos modelos Dell XPS 15 e XPS 13, mas também em modelos Latitude e Inspiron 5000.

Os usuários que acreditam que podem ser afetados devem visitar um site de teste criado pelo especialista em segurança Kenneth White. Se o site carregar sem nenhum erro de certificado, é um sinal de que o computador tem o certificado eDellRoot instalado.

A remoção do certificado do Windows pode ser feita com o Microsoft Management Console. Para abri-lo, os usuários podem pressionar a tecla windows + r, digitar certlm.msc e clicar em Executar. O certificado deve estar em Autoridades de certificado raiz confiáveis> Certificados.