Abo
  • Services:
Anzeige
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Anzeige

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

Root-Zertifikat ermöglicht Man-in-the-Middle-Angriffe

Das Zertifikat, das unter dem Namen "eDellRoot" im Zertifikatsspeicher des Systems abgelegt wird, wird durch eine Software namens Dell Foundation Services installiert. Diese wird nach wie vor auf der Dell-Webseite zum Download angeboten. Laut der etwas unklaren Beschreibung von Dell dient die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen.

Der private Schlüssel des Zertifikats ist im Windows-Zertifikatsspeicher nicht exportierbar abgelegt. Damit lässt er sich mit Windows-Bordmitteln nicht extrahieren. Ein richtiger Schutz ist das natürlich nicht, es gibt Tools, die derartige nicht exportierbare Zertifikate aus dem Zertifikatsspeicher extrahieren können. Ein Nutzer der Plattform Reddit hat den Key dort inzwischen veröffentlicht.

Nutzer entsprechender Laptops sind somit einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer kann dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen. Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen.

Keine Stellungnahme von Dell

Der Autor dieses Artikels wurde bereits vor einigen Wochen von dem Softwareentwickler Kristof Mattei auf dieses Root-Zertifikat aufmerksam gemacht. Wir hatten Dell vor zwei Wochen um eine Stellungnahme gebeten, eine Antwort haben wir bislang nicht erhalten.

Welchem Zweck das installierte Root-Zertifikat dient, ist damit zurzeit unklar. Dass es sich um eine böswillige Maßnahme handelt, um die Überwachung von Nutzern zu erleichtern, erscheint allerdings auch eher unwahrscheinlich, denn dann hätte Dell den privaten Schlüssel für das Zertifikat vermutlich nicht mitinstalliert.

Betroffen sind Nutzer der betroffenen Laptops nur, wenn sie Browser oder andere Programme nutzen, die auf den Zertifikats-Systemspeicher zurückgreifen. Unter den Windows-Browsern nutzen der Internet Explorer und Chrome diesen Zertifikatsspeicher. Nicht betroffen sind Firefox-Nutzer, da der Mozilla-Browser einen eigenen Zertifikatsspeicher besitzt.

Onlinetest prüft Verwundbarkeit

Nutzer von Dell-Laptops können mittels eines von uns bereitgestellten Onlinetests prüfen, ob sie von dem Problem betroffen sind. Wer betroffen ist, sollte umgehend das entsprechende Zertifikat im Zertifikatsmanager von Windows löschen. Der Zertifikatsmanager lässt sich starten, indem nach dem Klick auf "Start" der Befehl "certmgr.msc" eingegeben wird. Dort ist das Zertifikat unter dem Punkt "Vertrauenswürdige Stammzertifikate" zu finden. Außerdem muss die Datei (Dell.Foundation.Agent.Plugins.eDell.dll) manuell gelöscht werden. Das Zertifikat entfernen alleine reicht nicht, um das Problem zu beheben. Dell hat eine Anleitung und ein automatisches Entfernungstool bereitgestellt.

Der Vorfall ist nahezu identisch mit den Ereignissen um das Programm Superfish. Im Frühjahr war bekanntgeworden, dass Lenovo auf seinen Laptops ein Programm vorinstalliert hatte, das in HTTPS-Verbindungen eingriff, um dort Werbung einzufügen. Dazu nutzte es ebenfalls ein Root-Zertifikat, dessen privater Schlüssel Teil der Software war. Anschließend wurden zahlreiche weitere Programme gefunden, die alle von demselben Sicherheitsproblem betroffen waren, weil sie alle ein Softwaremodul namens Komodia nutzten. Andere Programme mit ähnlichen Sicherheitsproblemen, darunter etwa die Software Privdog und der Adblocker Adguard, wurden ebenfalls entdeckt.

Nachtrag vom 24. November 2015, 10:29 Uhr

Dell hat inzwischen mit einer Stellungnahme reagiert. Darin entschuldigt sich der Konzern für den Vorfall und kündigt ein baldiges Update an, welches das entsprechende Zertifikat entfernen soll. Weiterhin hat Dell eine Anleitung und ein Tool zum Entfernen des Zertifikats bereitgestellt, wir haben den Text entsprechend angepasst. Anders, als wir ursprünglich geschrieben haben, reicht es nicht, lediglich das Zertifikat manuell zu löschen.


eye home zur Startseite
Rüttelhuhn01 25. Nov 2015

Gibt es auch auf DELL Geräten laufende Webserver mit diesem Root Zertifikat? Sind die...

SoniX 24. Nov 2015

;-) Nun sollte das iso nur noch verhindern das Malware (so nenne ich das mal) aus dem...

Thiesi 24. Nov 2015

Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in...

mastermind 24. Nov 2015

Äh ja, nur dass PGP/GPG eben *nicht* mit einer Zertifikatskette arbeiten. Daher gibt es...

Technikfreak 24. Nov 2015

gab es auch schon und bei Dell kannst du ja wählen, welches... aber ohne OS kauft dir...



Anzeige

Stellenmarkt
  1. HORNBACH, Großraum Mannheim/Karlsruhe
  2. MAHLE Powertrain GmbH, Ingolstadt
  3. Robert Bosch GmbH, Reutlingen
  4. Gebr. Bode GmbH & Co. KG, Kassel


Anzeige
Hardware-Angebote
  1. 619,00€ + 3,99€ Versand (Vergleichspreis ab 664€)
  2. 120,99€
  3. 116,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  2. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  3. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  4. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  5. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  6. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial

  7. Auto

    Macchina M2 bietet Zugriff auf Fahrzeugelektronik

  8. Pro x2 G2

    HPs Surface-Konkurrent bekommt neue Hardware

  9. Security

    Bluetooth-Skimming an der Supermarktkasse

  10. Windows 10 Creators Update

    Optionale Einstellung erlaubt nur noch Apps aus dem Store



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Handy-Klassiker HMD Global bringt das Nokia 3310 zurück
  2. Galaxy Book im Hands on Samsung bringt neuen 2-in-1-Computer
  3. Mobilfunk "5G muss weit mehr als LTE bieten"

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

  1. Re: XL seats vs geiz-ist-geil

    Emulex | 14:54

  2. Re: tolle Lenkradhaltung des Fahrers

    neocron | 14:53

  3. Re: beliebt lukrativ

    burzum | 14:52

  4. Re: Anfangs total begeistert

    MarkS | 14:51

  5. Re: Noch optional.

    jose.ramirez | 14:50


  1. 14:31

  2. 14:21

  3. 14:16

  4. 13:30

  5. 12:49

  6. 12:02

  7. 12:00

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel