24.11.2015, 11:27 Uhr

Dell liefert Laptops mit unsicherem Zertifikat aus

Mit einem eigenen Root-Zertifikat hebelt Dell die Verschlüsselung seiner Kunden aus. Der Fall erinnert stark an das Superfish-Problem von Lenovo.
Dell warnt seine Nutzer vor einer grossen Sicherheitslücke in den eigenen Laptops: Das vorinstallierte Root-Zertifikat «eDellRoot» soll die Verschlüsselungen sämtlicher Verbindungen des Systems gefährden. Betroffen sind offenbar unter anderem Notebooks der Dell Inspiron 5000-, XPS 15-, Inspiron-Desktop-, Precision M4800- und Alienware-Serien. Gemäss Dell sollte das Zertifikat eigentlich die Kundenbetreuung verbessern. Es sei im August installiert worden. Stattdessen soll es für Man-in-the-Middle-Attacken missbraucht werden können. Jeder Angreifer soll das Zertiifkat nutzen können, um gültige Zertifikate für beliebige Webseiten erstellen zu können. Gefunden hat die Schwachstelle ein Reddit-Nutzers, der auch gleich beschreibt, wie man das Zertifikat findet: Start -> Befehl «certmgr.msc» eingeben-> Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate; Falls dort das Zertifikat «eDellRoot» abgelegt ist, sollte man ihm mit einem Klick der rechten Maustaste und Auswahl der Option «Alle Zwecke für dieses Zertifikat deaktivieren» das Vertrauen entziehen. Alternativ hat der Deutsche Hanno Bck einen Schnelltest entwickelt, der anzeigt, ob das Zertifikat installiert ist. Wie Heise.de schreibt, ist der Workaround nur eine provisorische Massnahme, echten Schutz bietet sie nicht. Den könnte nur Dell bieten, die laut eigener Aussage daran sind, das Zertifikat zu untersuchen. Dell hat mittlerweile eine Anleitung herausgegeben, mit der «eDellRoot» permanent vom Rechner verbannt werden soll. Der Fall ist extrem peinlich für Dell. Vor wenigen Monaten gelangte Lenovo in die Schlagzeilen, weil das sogenannte Superfish-Root-Zertifikat Angreifern ebenfalls Tür und Tor öffnete. Es folgte ein Shitstorm und ein enormer Reputationsschaden. Man hätte annehmen können, dass die Hersteller als Folge besonders genau geschaut haben, welche Art Software sie vorinstallieren. Dell beweist, dass diese Annahme falsch war.



Das könnte Sie auch interessieren