Abo
  • Services:
Anzeige
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Anzeige

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

Root-Zertifikat ermöglicht Man-in-the-Middle-Angriffe

Das Zertifikat, das unter dem Namen "eDellRoot" im Zertifikatsspeicher des Systems abgelegt wird, wird durch eine Software namens Dell Foundation Services installiert. Diese wird nach wie vor auf der Dell-Webseite zum Download angeboten. Laut der etwas unklaren Beschreibung von Dell dient die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen.

Der private Schlüssel des Zertifikats ist im Windows-Zertifikatsspeicher nicht exportierbar abgelegt. Damit lässt er sich mit Windows-Bordmitteln nicht extrahieren. Ein richtiger Schutz ist das natürlich nicht, es gibt Tools, die derartige nicht exportierbare Zertifikate aus dem Zertifikatsspeicher extrahieren können. Ein Nutzer der Plattform Reddit hat den Key dort inzwischen veröffentlicht.

Nutzer entsprechender Laptops sind somit einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer kann dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen. Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen.

Keine Stellungnahme von Dell

Der Autor dieses Artikels wurde bereits vor einigen Wochen von dem Softwareentwickler Kristof Mattei auf dieses Root-Zertifikat aufmerksam gemacht. Wir hatten Dell vor zwei Wochen um eine Stellungnahme gebeten, eine Antwort haben wir bislang nicht erhalten.

Welchem Zweck das installierte Root-Zertifikat dient, ist damit zurzeit unklar. Dass es sich um eine böswillige Maßnahme handelt, um die Überwachung von Nutzern zu erleichtern, erscheint allerdings auch eher unwahrscheinlich, denn dann hätte Dell den privaten Schlüssel für das Zertifikat vermutlich nicht mitinstalliert.

Betroffen sind Nutzer der betroffenen Laptops nur, wenn sie Browser oder andere Programme nutzen, die auf den Zertifikats-Systemspeicher zurückgreifen. Unter den Windows-Browsern nutzen der Internet Explorer und Chrome diesen Zertifikatsspeicher. Nicht betroffen sind Firefox-Nutzer, da der Mozilla-Browser einen eigenen Zertifikatsspeicher besitzt.

Onlinetest prüft Verwundbarkeit

Nutzer von Dell-Laptops können mittels eines von uns bereitgestellten Onlinetests prüfen, ob sie von dem Problem betroffen sind. Wer betroffen ist, sollte umgehend das entsprechende Zertifikat im Zertifikatsmanager von Windows löschen. Der Zertifikatsmanager lässt sich starten, indem nach dem Klick auf "Start" der Befehl "certmgr.msc" eingegeben wird. Dort ist das Zertifikat unter dem Punkt "Vertrauenswürdige Stammzertifikate" zu finden. Außerdem muss die Datei (Dell.Foundation.Agent.Plugins.eDell.dll) manuell gelöscht werden. Das Zertifikat entfernen alleine reicht nicht, um das Problem zu beheben. Dell hat eine Anleitung und ein automatisches Entfernungstool bereitgestellt.

Der Vorfall ist nahezu identisch mit den Ereignissen um das Programm Superfish. Im Frühjahr war bekanntgeworden, dass Lenovo auf seinen Laptops ein Programm vorinstalliert hatte, das in HTTPS-Verbindungen eingriff, um dort Werbung einzufügen. Dazu nutzte es ebenfalls ein Root-Zertifikat, dessen privater Schlüssel Teil der Software war. Anschließend wurden zahlreiche weitere Programme gefunden, die alle von demselben Sicherheitsproblem betroffen waren, weil sie alle ein Softwaremodul namens Komodia nutzten. Andere Programme mit ähnlichen Sicherheitsproblemen, darunter etwa die Software Privdog und der Adblocker Adguard, wurden ebenfalls entdeckt.

Nachtrag vom 24. November 2015, 10:29 Uhr

Dell hat inzwischen mit einer Stellungnahme reagiert. Darin entschuldigt sich der Konzern für den Vorfall und kündigt ein baldiges Update an, welches das entsprechende Zertifikat entfernen soll. Weiterhin hat Dell eine Anleitung und ein Tool zum Entfernen des Zertifikats bereitgestellt, wir haben den Text entsprechend angepasst. Anders, als wir ursprünglich geschrieben haben, reicht es nicht, lediglich das Zertifikat manuell zu löschen.


eye home zur Startseite
Rüttelhuhn01 25. Nov 2015

Gibt es auch auf DELL Geräten laufende Webserver mit diesem Root Zertifikat? Sind die...

SoniX 24. Nov 2015

;-) Nun sollte das iso nur noch verhindern das Malware (so nenne ich das mal) aus dem...

Thiesi 24. Nov 2015

Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in...

mastermind 24. Nov 2015

Äh ja, nur dass PGP/GPG eben *nicht* mit einer Zertifikatskette arbeiten. Daher gibt es...

Technikfreak 24. Nov 2015

gab es auch schon und bei Dell kannst du ja wählen, welches... aber ohne OS kauft dir...



Anzeige

Stellenmarkt
  1. BG-Phoenics GmbH, Hannover
  2. üstra Hannoversche Verkehrsbetriebe AG, Hannover
  3. thyssenkrupp AG, Essen
  4. über Hays AG, südlich von Hannover/Hildesheim


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)

Folgen Sie uns
       


  1. Niederlande

    Deutsche Telekom übernimmt Tele2

  2. Drive Me

    Volvo macht Rückzieher bei autonomen Autos

  3. Astronomie

    Die acht Planeten von Kepler-90

  4. Fuso eCanter

    Daimler liefert erste Elektro-Lkw aus

  5. Edge

    Eine Karte soll Daten mehrerer Kreditkarten speichern

  6. Netzneutralität abgeschafft

    Die doppelte Selbstentmachtung der US-Internetaufsicht

  7. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  8. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  9. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  10. Übernahme

    Walt Disney kauft Teile von 21st Century Fox



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  2. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland
  3. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

  1. Re: Ich finde das mit einer GTX1050 nicht "ultimativ"

    McWiesel | 09:14

  2. AT&T will 108 Milliarden US-Dollar für das...

    taudorinon | 09:12

  3. Re: Respekt

    |=H | 09:10

  4. Re: Infos fehlen

    lester | 09:10

  5. Re: Lobbyarbeit

    emuuu | 09:06


  1. 09:01

  2. 08:58

  3. 08:31

  4. 08:16

  5. 07:53

  6. 07:17

  7. 16:10

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel