Abo
  • Services:
Anzeige
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind.
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr/CC-BY 2.0)

Dell-Probleme: Service-Tag ermöglicht Tracking von Dell-Nutzern

Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind.
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr/CC-BY 2.0)

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

Anzeige

Neben den Problemen mit gefährlichen Root-Zertifikaten wurde kürzlich ein weiteres Problem in einer von Dell vorinstallierten Software entdeckt: Die Dell Foundation Services erlauben es beliebigen Webseiten, den sogenannten Service-Tag von PCs und Laptops auszulesen. Der Service Tag ist eine eindeutige Nummer, die jeden Dell-Computer identifiziert. Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten, die Antworten erscheinen jedoch eher konfus und deuten darauf hin, dass man bei Dell offenbar Schwierigkeiten hat, das Problem nachzuvollziehen.

JSON-API lauscht auf Port 7779

Beschrieben hat das Problem ein Hacker mit dem Pseudonym Slipstream auf der Webseite LizardHQ. Auf Systemen, die die Dell Foundation Services installiert haben, lauscht auf Port 7779 ein HTTP-Server mit einer JSON-API. Die Dell Foundation Services waren bereits für das zweite entdeckte Dell-Root-Zertifikat verantwortlich.

Webseiten können Anfragen an diese JSON-API schicken. Diese Anfragen müssen jedoch signiert sein. Offenbar wird ein Teil der API deaktiviert, wenn man die Anleitungen zum Entfernen des eDellRoot-Zertifikats befolgt, da die Anfragen mit diesem Zertifikat signiert sein müssen.

Signatur lässt sich aus Dells Javascript-Code auslesen

Doch auch nach der Entfernung des eDellRoot-Zertifikats bleibt ein Teil der API aktiv, mit dem sich der Service-Tag der betroffenen Geräte auslesen lässt. Zwar verlangt auch diese API, dass die Anfragen signiert werden, doch eine signierte Anfrage konnte Slipstream aus dem Javascript-Code auf der offiziellen Dell-Seite extrahieren.

Der Port für die Dell Foundation Services ist weiterhin auch nach außen offen. Damit können betroffene Rechner auch übers Internet gefunden werden, worauf John Matherly, der Betreiber der Suchmaschine Shodan, hinweist.

Die Funktion dient offenbar dazu, dass Dell-Service-Mitarbeiter schnell das PC-Modell eines Kunden herausfinden können. Doch diese Implementierung sorgt dafür, dass jede beliebige Webseite diesen Service-Tag auslesen kann. Einen Proof of Concept hat Slipstream online bereitgestellt.

Der Service-Tag könnte als nahezu perfektes Tracking-Werkzeug genutzt werden, um einen bestimmten Computer eindeutig zu identifizieren. Denn ausgelesen werden kann dieser auch über Browsergrenzen hinweg und nach kompletten Neuinstallationen von Browsern oder dem ganzen Betriebssystem.

Statements von Dell verwirrend

Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten. In einer ersten Reaktion schrieb uns die Pressestelle von Dell: "Fakt ist, dass im Rahmen von Dell Foundation Services das Zertifikat den Service-Tag geliefert hat, damit dem Online-Support-Team von Dell das Modell des Systems und dessen spezifischen technischen Daten unmittelbar zur Verfügung stehen, um damit dem Kunden schneller und gezielter zu helfen. Persönliche und Rückschlüsse auf den Kunden zulassende Daten wurden dabei jedoch nicht erfasst."

Das klang zunächst so, als ob Dell grundsätzlich kein Problem darin sieht, dass der Service-Tag als eindeutiges Identifizierungsmerkmal auslesbar ist. Auf eine weitere Nachfragen hin teilte Dell uns mit: "Wir stellen Kunden ein Softwareupdate und manuelle Instruktionen zur Entfernung bereit. Die neue Version der Dell Foundation Services, Version 3.0, enthält das Zertifikat nicht mehr."

Dieses Statement ergibt aus mehreren Gründen keinen Sinn. Zunächst ging es überhaupt nicht mehr um das fragliche Zertifikat, sondern um die bereitgestellte JSON-API. Eine Version 3.0 der Dell Foundation Services ist zumindest auf der Dell-Webseite nicht zu finden. Dort ist als aktuelle Version 2.1.125.0, A00 aufgelistet, die offenbar am Freitag veröffentlicht wurde. Laut dem Advisory von LizardHQ sind alle Versionen bis 2.3.3800.0A00 betroffen. Scheinbar werden die Versionsnummern von Dell nicht inkrementell vergeben, was zu einiger zusätzlicher Verwirrung führt. Informationen darüber, welche Änderungen in welchen Versionen der Dell Foundation Services vorgenommen wurden, findet man auf der Dell-Webseite nicht.

Das Advisory von LizardHQ empfiehlt, die Dell Foundation Services zu entfernen. Sie könnten keine andere Empfehlung geben, um dieses Problem zu beheben. Angesichts der sehr verwirrenden Informationen von Dell ist das wohl eine sinnvolle Empfehlung.

Microsoft entfernt Zertifikate

Neben der vollständigen Entfernung der Dell Foundation Services sollten Nutzer nach wie vor auf jeden Fall prüfen, ob die von Dell installierten Root-Zertifikate entfernt wurden. Inzwischen hat auch Microsoft auf den Vorfall reagiert: Die Tools Windows Defender und Windows Safety Scanner erkennen und entfernen die fraglichen Zertifikate.


eye home zur Startseite
Koto 01. Dez 2015

Welche Software von Dell ist damit den nun genau gemeint? Es gibt ja nun von Dell einige...

plutoniumsulfat 01. Dez 2015

Bei Großunternehmen natürlich eher sinnlos, privat oder bei kleinen Firmen aber durchaus...

LoopBack 01. Dez 2015

Was willst du damit sagen? Inkrementell sind diese Versionen schon mal nicht, da die...

Rainer Tsuphal 30. Nov 2015

Wieso englisch und warum nicht finnisch? https://defi.dict.cc/?s=Guten+Tag Bald ist...



Anzeige

Stellenmarkt
  1. Freie und Hansestadt Hamburg - Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. Wüstenrot & Württembergische AG, Stuttgart
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Robert Bosch GmbH, Stuttgart-Vaihingen


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. auf Kameras und Objektive

Folgen Sie uns
       


  1. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  2. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  3. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  4. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  5. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  6. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  7. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  8. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  9. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  10. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Prime Reading Amazon startet dritte Lese-Flatrate in Deutschland
  2. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  2. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  3. Quantenoptik Vom Batman-Fan zum Quantenphysiker

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. 1MBit/s Mindestgeschwindigkeit durch Gesetzgeber...

    Sandeeh | 18:56

  2. Re: Was genau ist hier das Besondere?

    robinx999 | 18:38

  3. Re: Linux-Quellcode geleaked!

    Eheran | 18:37

  4. Re: Nach dem Theater mit Amazon FreeTime Unlimited

    Unix_Linux | 18:30

  5. Re: Hat das überhaupt LAN und dedizierte Server?

    bark | 18:17


  1. 14:37

  2. 14:28

  3. 12:01

  4. 10:37

  5. 13:30

  6. 12:14

  7. 11:43

  8. 10:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel