Anzeige
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Anzeige

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

Root-Zertifikat ermöglicht Man-in-the-Middle-Angriffe

Das Zertifikat, das unter dem Namen "eDellRoot" im Zertifikatsspeicher des Systems abgelegt wird, wird durch eine Software namens Dell Foundation Services installiert. Diese wird nach wie vor auf der Dell-Webseite zum Download angeboten. Laut der etwas unklaren Beschreibung von Dell dient die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen.

Der private Schlüssel des Zertifikats ist im Windows-Zertifikatsspeicher nicht exportierbar abgelegt. Damit lässt er sich mit Windows-Bordmitteln nicht extrahieren. Ein richtiger Schutz ist das natürlich nicht, es gibt Tools, die derartige nicht exportierbare Zertifikate aus dem Zertifikatsspeicher extrahieren können. Ein Nutzer der Plattform Reddit hat den Key dort inzwischen veröffentlicht.

Nutzer entsprechender Laptops sind somit einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer kann dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen. Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen.

Keine Stellungnahme von Dell

Der Autor dieses Artikels wurde bereits vor einigen Wochen von dem Softwareentwickler Kristof Mattei auf dieses Root-Zertifikat aufmerksam gemacht. Wir hatten Dell vor zwei Wochen um eine Stellungnahme gebeten, eine Antwort haben wir bislang nicht erhalten.

Welchem Zweck das installierte Root-Zertifikat dient, ist damit zurzeit unklar. Dass es sich um eine böswillige Maßnahme handelt, um die Überwachung von Nutzern zu erleichtern, erscheint allerdings auch eher unwahrscheinlich, denn dann hätte Dell den privaten Schlüssel für das Zertifikat vermutlich nicht mitinstalliert.

Betroffen sind Nutzer der betroffenen Laptops nur, wenn sie Browser oder andere Programme nutzen, die auf den Zertifikats-Systemspeicher zurückgreifen. Unter den Windows-Browsern nutzen der Internet Explorer und Chrome diesen Zertifikatsspeicher. Nicht betroffen sind Firefox-Nutzer, da der Mozilla-Browser einen eigenen Zertifikatsspeicher besitzt.

Onlinetest prüft Verwundbarkeit

Nutzer von Dell-Laptops können mittels eines von uns bereitgestellten Onlinetests prüfen, ob sie von dem Problem betroffen sind. Wer betroffen ist, sollte umgehend das entsprechende Zertifikat im Zertifikatsmanager von Windows löschen. Der Zertifikatsmanager lässt sich starten, indem nach dem Klick auf "Start" der Befehl "certmgr.msc" eingegeben wird. Dort ist das Zertifikat unter dem Punkt "Vertrauenswürdige Stammzertifikate" zu finden. Außerdem muss die Datei (Dell.Foundation.Agent.Plugins.eDell.dll) manuell gelöscht werden. Das Zertifikat entfernen alleine reicht nicht, um das Problem zu beheben. Dell hat eine Anleitung und ein automatisches Entfernungstool bereitgestellt.

Der Vorfall ist nahezu identisch mit den Ereignissen um das Programm Superfish. Im Frühjahr war bekanntgeworden, dass Lenovo auf seinen Laptops ein Programm vorinstalliert hatte, das in HTTPS-Verbindungen eingriff, um dort Werbung einzufügen. Dazu nutzte es ebenfalls ein Root-Zertifikat, dessen privater Schlüssel Teil der Software war. Anschließend wurden zahlreiche weitere Programme gefunden, die alle von demselben Sicherheitsproblem betroffen waren, weil sie alle ein Softwaremodul namens Komodia nutzten. Andere Programme mit ähnlichen Sicherheitsproblemen, darunter etwa die Software Privdog und der Adblocker Adguard, wurden ebenfalls entdeckt.

Nachtrag vom 24. November 2015, 10:29 Uhr

Dell hat inzwischen mit einer Stellungnahme reagiert. Darin entschuldigt sich der Konzern für den Vorfall und kündigt ein baldiges Update an, welches das entsprechende Zertifikat entfernen soll. Weiterhin hat Dell eine Anleitung und ein Tool zum Entfernen des Zertifikats bereitgestellt, wir haben den Text entsprechend angepasst. Anders, als wir ursprünglich geschrieben haben, reicht es nicht, lediglich das Zertifikat manuell zu löschen.


eye home zur Startseite
Rüttelhuhn01 25. Nov 2015

Gibt es auch auf DELL Geräten laufende Webserver mit diesem Root Zertifikat? Sind die...

SoniX 24. Nov 2015

;-) Nun sollte das iso nur noch verhindern das Malware (so nenne ich das mal) aus dem...

Thiesi 24. Nov 2015

Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in...

mastermind 24. Nov 2015

Äh ja, nur dass PGP/GPG eben *nicht* mit einer Zertifikatskette arbeiten. Daher gibt es...

Technikfreak 24. Nov 2015

gab es auch schon und bei Dell kannst du ja wählen, welches... aber ohne OS kauft dir...

Kommentieren



Anzeige

  1. Manager Software Development (m/w)
    TAKATA AG, Berlin und Aschaffenburg
  2. Leiter IT Mittelstand (m/w)
    über JobLeads GmbH, Karlsruhe
  3. IT Spezialist Datensicherung (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. IT Testmanager (m/w) Customer Relationship Management / Scrum
    Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt

Detailsuche



Anzeige
Hardware-Angebote
  1. TIPP: Amazon-Sale
    (reduzierte Überstände, Restposten & Co.)
  2. ASUS GeForce GTX 1080 Founders Edition
    789,00€
  3. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)

Weitere Angebote


Folgen Sie uns
       


  1. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  2. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  3. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  4. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!

  5. Kryptowährung

    Australische Behörden versteigern beschlagnahmte Bitcoins

  6. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  7. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  8. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  9. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android

  10. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Gran Turismo Sport Ein Bündnis mit der Realität
  2. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xperia X im Hands on: Sonys vorgetäuschte Oberklasse
Xperia X im Hands on
Sonys vorgetäuschte Oberklasse
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Android 6.0 Ein großer Haufen Marshmallow für Samsung und Co.
  3. Google Android N erscheint auch für Nicht-Nexus-Smartphones

Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

  1. Re: Also sind alle in Gebieten die nicht ausbauen...

    bombinho | 21:56

  2. Re: Informativere Überschriften wären nett

    demon driver | 21:55

  3. nur helligkeit und blinken (hinten) zählt

    narfomat | 21:49

  4. Re: Funktioniert auch mit VLC

    MeisterLampe2 | 21:44

  5. Re: was nützs, wenn darauf windows läuft?

    nr69 | 21:42


  1. 19:26

  2. 18:41

  3. 18:36

  4. 18:16

  5. 18:11

  6. 17:31

  7. 17:26

  8. 16:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel