Abo
  • Services:

Dell-Probleme: Service-Tag ermöglicht Tracking von Dell-Nutzern

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

Artikel veröffentlicht am , Hanno Böck
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind.
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr/CC-BY 2.0)

Neben den Problemen mit gefährlichen Root-Zertifikaten wurde kürzlich ein weiteres Problem in einer von Dell vorinstallierten Software entdeckt: Die Dell Foundation Services erlauben es beliebigen Webseiten, den sogenannten Service-Tag von PCs und Laptops auszulesen. Der Service Tag ist eine eindeutige Nummer, die jeden Dell-Computer identifiziert. Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten, die Antworten erscheinen jedoch eher konfus und deuten darauf hin, dass man bei Dell offenbar Schwierigkeiten hat, das Problem nachzuvollziehen.

JSON-API lauscht auf Port 7779

Stellenmarkt
  1. MailStore Software GmbH, Viersen
  2. Diamant Software GmbH & Co. KG, Bielefeld

Beschrieben hat das Problem ein Hacker mit dem Pseudonym Slipstream auf der Webseite LizardHQ. Auf Systemen, die die Dell Foundation Services installiert haben, lauscht auf Port 7779 ein HTTP-Server mit einer JSON-API. Die Dell Foundation Services waren bereits für das zweite entdeckte Dell-Root-Zertifikat verantwortlich.

Webseiten können Anfragen an diese JSON-API schicken. Diese Anfragen müssen jedoch signiert sein. Offenbar wird ein Teil der API deaktiviert, wenn man die Anleitungen zum Entfernen des eDellRoot-Zertifikats befolgt, da die Anfragen mit diesem Zertifikat signiert sein müssen.

Signatur lässt sich aus Dells Javascript-Code auslesen

Doch auch nach der Entfernung des eDellRoot-Zertifikats bleibt ein Teil der API aktiv, mit dem sich der Service-Tag der betroffenen Geräte auslesen lässt. Zwar verlangt auch diese API, dass die Anfragen signiert werden, doch eine signierte Anfrage konnte Slipstream aus dem Javascript-Code auf der offiziellen Dell-Seite extrahieren.

Der Port für die Dell Foundation Services ist weiterhin auch nach außen offen. Damit können betroffene Rechner auch übers Internet gefunden werden, worauf John Matherly, der Betreiber der Suchmaschine Shodan, hinweist.

Die Funktion dient offenbar dazu, dass Dell-Service-Mitarbeiter schnell das PC-Modell eines Kunden herausfinden können. Doch diese Implementierung sorgt dafür, dass jede beliebige Webseite diesen Service-Tag auslesen kann. Einen Proof of Concept hat Slipstream online bereitgestellt.

Der Service-Tag könnte als nahezu perfektes Tracking-Werkzeug genutzt werden, um einen bestimmten Computer eindeutig zu identifizieren. Denn ausgelesen werden kann dieser auch über Browsergrenzen hinweg und nach kompletten Neuinstallationen von Browsern oder dem ganzen Betriebssystem.

Statements von Dell verwirrend

Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten. In einer ersten Reaktion schrieb uns die Pressestelle von Dell: "Fakt ist, dass im Rahmen von Dell Foundation Services das Zertifikat den Service-Tag geliefert hat, damit dem Online-Support-Team von Dell das Modell des Systems und dessen spezifischen technischen Daten unmittelbar zur Verfügung stehen, um damit dem Kunden schneller und gezielter zu helfen. Persönliche und Rückschlüsse auf den Kunden zulassende Daten wurden dabei jedoch nicht erfasst."

Das klang zunächst so, als ob Dell grundsätzlich kein Problem darin sieht, dass der Service-Tag als eindeutiges Identifizierungsmerkmal auslesbar ist. Auf eine weitere Nachfragen hin teilte Dell uns mit: "Wir stellen Kunden ein Softwareupdate und manuelle Instruktionen zur Entfernung bereit. Die neue Version der Dell Foundation Services, Version 3.0, enthält das Zertifikat nicht mehr."

Dieses Statement ergibt aus mehreren Gründen keinen Sinn. Zunächst ging es überhaupt nicht mehr um das fragliche Zertifikat, sondern um die bereitgestellte JSON-API. Eine Version 3.0 der Dell Foundation Services ist zumindest auf der Dell-Webseite nicht zu finden. Dort ist als aktuelle Version 2.1.125.0, A00 aufgelistet, die offenbar am Freitag veröffentlicht wurde. Laut dem Advisory von LizardHQ sind alle Versionen bis 2.3.3800.0A00 betroffen. Scheinbar werden die Versionsnummern von Dell nicht inkrementell vergeben, was zu einiger zusätzlicher Verwirrung führt. Informationen darüber, welche Änderungen in welchen Versionen der Dell Foundation Services vorgenommen wurden, findet man auf der Dell-Webseite nicht.

Das Advisory von LizardHQ empfiehlt, die Dell Foundation Services zu entfernen. Sie könnten keine andere Empfehlung geben, um dieses Problem zu beheben. Angesichts der sehr verwirrenden Informationen von Dell ist das wohl eine sinnvolle Empfehlung.

Microsoft entfernt Zertifikate

Neben der vollständigen Entfernung der Dell Foundation Services sollten Nutzer nach wie vor auf jeden Fall prüfen, ob die von Dell installierten Root-Zertifikate entfernt wurden. Inzwischen hat auch Microsoft auf den Vorfall reagiert: Die Tools Windows Defender und Windows Safety Scanner erkennen und entfernen die fraglichen Zertifikate.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)

Koto 01. Dez 2015

Welche Software von Dell ist damit den nun genau gemeint? Es gibt ja nun von Dell einige...

plutoniumsulfat 01. Dez 2015

Bei Großunternehmen natürlich eher sinnlos, privat oder bei kleinen Firmen aber durchaus...

LoopBack 01. Dez 2015

Was willst du damit sagen? Inkrementell sind diese Versionen schon mal nicht, da die...

Rainer Tsuphal 30. Nov 2015

Wieso englisch und warum nicht finnisch? https://defi.dict.cc/?s=Guten+Tag Bald ist...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Künstliche Intelligenz: Wie Computer lernen
    Künstliche Intelligenz
    Wie Computer lernen

    Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
    Von Miroslav Stimac

    1. Innotrans KI-System identifiziert Schwarzfahrer
    2. USA Pentagon fordert KI-Strategie fürs Militär
    3. KI Deepmind-System diagnostiziert Augenkrankheiten

      •  /