Abo
  • Services:
Anzeige
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind.
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr/CC-BY 2.0)

Dell-Probleme: Service-Tag ermöglicht Tracking von Dell-Nutzern

Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind.
Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr/CC-BY 2.0)

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

Anzeige

Neben den Problemen mit gefährlichen Root-Zertifikaten wurde kürzlich ein weiteres Problem in einer von Dell vorinstallierten Software entdeckt: Die Dell Foundation Services erlauben es beliebigen Webseiten, den sogenannten Service-Tag von PCs und Laptops auszulesen. Der Service Tag ist eine eindeutige Nummer, die jeden Dell-Computer identifiziert. Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten, die Antworten erscheinen jedoch eher konfus und deuten darauf hin, dass man bei Dell offenbar Schwierigkeiten hat, das Problem nachzuvollziehen.

JSON-API lauscht auf Port 7779

Beschrieben hat das Problem ein Hacker mit dem Pseudonym Slipstream auf der Webseite LizardHQ. Auf Systemen, die die Dell Foundation Services installiert haben, lauscht auf Port 7779 ein HTTP-Server mit einer JSON-API. Die Dell Foundation Services waren bereits für das zweite entdeckte Dell-Root-Zertifikat verantwortlich.

Webseiten können Anfragen an diese JSON-API schicken. Diese Anfragen müssen jedoch signiert sein. Offenbar wird ein Teil der API deaktiviert, wenn man die Anleitungen zum Entfernen des eDellRoot-Zertifikats befolgt, da die Anfragen mit diesem Zertifikat signiert sein müssen.

Signatur lässt sich aus Dells Javascript-Code auslesen

Doch auch nach der Entfernung des eDellRoot-Zertifikats bleibt ein Teil der API aktiv, mit dem sich der Service-Tag der betroffenen Geräte auslesen lässt. Zwar verlangt auch diese API, dass die Anfragen signiert werden, doch eine signierte Anfrage konnte Slipstream aus dem Javascript-Code auf der offiziellen Dell-Seite extrahieren.

Der Port für die Dell Foundation Services ist weiterhin auch nach außen offen. Damit können betroffene Rechner auch übers Internet gefunden werden, worauf John Matherly, der Betreiber der Suchmaschine Shodan, hinweist.

Die Funktion dient offenbar dazu, dass Dell-Service-Mitarbeiter schnell das PC-Modell eines Kunden herausfinden können. Doch diese Implementierung sorgt dafür, dass jede beliebige Webseite diesen Service-Tag auslesen kann. Einen Proof of Concept hat Slipstream online bereitgestellt.

Der Service-Tag könnte als nahezu perfektes Tracking-Werkzeug genutzt werden, um einen bestimmten Computer eindeutig zu identifizieren. Denn ausgelesen werden kann dieser auch über Browsergrenzen hinweg und nach kompletten Neuinstallationen von Browsern oder dem ganzen Betriebssystem.

Statements von Dell verwirrend

Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten. In einer ersten Reaktion schrieb uns die Pressestelle von Dell: "Fakt ist, dass im Rahmen von Dell Foundation Services das Zertifikat den Service-Tag geliefert hat, damit dem Online-Support-Team von Dell das Modell des Systems und dessen spezifischen technischen Daten unmittelbar zur Verfügung stehen, um damit dem Kunden schneller und gezielter zu helfen. Persönliche und Rückschlüsse auf den Kunden zulassende Daten wurden dabei jedoch nicht erfasst."

Das klang zunächst so, als ob Dell grundsätzlich kein Problem darin sieht, dass der Service-Tag als eindeutiges Identifizierungsmerkmal auslesbar ist. Auf eine weitere Nachfragen hin teilte Dell uns mit: "Wir stellen Kunden ein Softwareupdate und manuelle Instruktionen zur Entfernung bereit. Die neue Version der Dell Foundation Services, Version 3.0, enthält das Zertifikat nicht mehr."

Dieses Statement ergibt aus mehreren Gründen keinen Sinn. Zunächst ging es überhaupt nicht mehr um das fragliche Zertifikat, sondern um die bereitgestellte JSON-API. Eine Version 3.0 der Dell Foundation Services ist zumindest auf der Dell-Webseite nicht zu finden. Dort ist als aktuelle Version 2.1.125.0, A00 aufgelistet, die offenbar am Freitag veröffentlicht wurde. Laut dem Advisory von LizardHQ sind alle Versionen bis 2.3.3800.0A00 betroffen. Scheinbar werden die Versionsnummern von Dell nicht inkrementell vergeben, was zu einiger zusätzlicher Verwirrung führt. Informationen darüber, welche Änderungen in welchen Versionen der Dell Foundation Services vorgenommen wurden, findet man auf der Dell-Webseite nicht.

Das Advisory von LizardHQ empfiehlt, die Dell Foundation Services zu entfernen. Sie könnten keine andere Empfehlung geben, um dieses Problem zu beheben. Angesichts der sehr verwirrenden Informationen von Dell ist das wohl eine sinnvolle Empfehlung.

Microsoft entfernt Zertifikate

Neben der vollständigen Entfernung der Dell Foundation Services sollten Nutzer nach wie vor auf jeden Fall prüfen, ob die von Dell installierten Root-Zertifikate entfernt wurden. Inzwischen hat auch Microsoft auf den Vorfall reagiert: Die Tools Windows Defender und Windows Safety Scanner erkennen und entfernen die fraglichen Zertifikate.


eye home zur Startseite
Koto 01. Dez 2015

Welche Software von Dell ist damit den nun genau gemeint? Es gibt ja nun von Dell einige...

plutoniumsulfat 01. Dez 2015

Bei Großunternehmen natürlich eher sinnlos, privat oder bei kleinen Firmen aber durchaus...

LoopBack 01. Dez 2015

Was willst du damit sagen? Inkrementell sind diese Versionen schon mal nicht, da die...

Rainer Tsuphal 30. Nov 2015

Wieso englisch und warum nicht finnisch? https://defi.dict.cc/?s=Guten+Tag Bald ist...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. IAV GmbH - Ingenieurgesellschaft Auto und Verkehr, Sindelfingen
  3. European XFEL GmbH, Schenefeld
  4. Magazino GmbH, München oder Home-Office


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 2,99€ (nur bis Samstag)
  3. 11,99€

Folgen Sie uns
       


  1. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  2. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  3. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  4. Autonomes Fahren

    Der Truck lernt beim Fahren

  5. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  6. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  7. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  8. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  9. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  10. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Handel über amazon und ebay teilweise...

    robinx999 | 19:11

  2. Re: Panamera ist schon eine perverse Karre

    neocron | 19:04

  3. Re: Hätte Windows Phone so ausgesehen, wäre es...

    ArcherV | 18:58

  4. Re: Anscheinend gibt es keine gesetzlichen Vorgaben.

    picaschaf | 18:41

  5. Re: Gibt es schon Atteste für 2m Menschen?

    ChMu | 18:38


  1. 11:57

  2. 09:02

  3. 18:02

  4. 17:43

  5. 16:49

  6. 16:21

  7. 16:02

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel