注册
登录
| 关键词: 凭证 Dell 软体 eDellRoot 使用者 安全 nbsp 联想电脑 媒体 警示 |
今年联想电脑被发现预载Superfish广告程式,引发轩然大波。安全研究人员Joe Nord最近发现,Dell旗下电脑产品也预载了名为eDellRoot的自签凭证软体,可能使用户连上恶意网站而不察。 Nord近日买入Dell XPS 15笔电,在做某项问题排除工作时,发现到它预载了这款软体,并包含了一把私钥。虽然号称无法破解,但他表示,只要利用一些工具就可以轻易复制,这将让使用者机器中的金钥一旦不慎外流,则可能接受任何伪冒网站的SSL连线,进而遭致安全风险。他后来发现许多人也有类似问题,怀疑Dell每一款笔电都预载了同样的根凭证软体及私钥。 他指出,Dell已经见识联想电脑因Superfish而名誉重创,然而他们不但重蹈覆辙,而且更恶劣,因为Dell出包的不是第三方厂商的东西,而是自家的软体。更糟的是,我们知道Supefish是用于插入网路广告,但eDellRoot的用途则完全不明。 使用者可以按「开始」->键入「certmgr.msc」->「信赖根凭证发行单位」->「凭证」,检查是不是也有eDellRoot这个凭证。 Reddit网站上并有iamwpj的用户表示,他公司的Dell Inspiron原本没有eDellRoot,但下载Dell 更新软体后就有了。 The Verge也在Inspiron 5000及XPS 13发现这款软体。媒体报导,使用者必须手动取消凭证的许可,但这项工作既复杂也有相当难度。 Nord对媒体表示,Firefox会针对eDellRoot发出未受信赖凭证的警示。但Chrome及微软IE、Edge则没有类似警示。 Dell也已接到使用者反应。 Dell透过Twitter帐号指出,eDellRoot是Dell的信赖凭证,这在OS中已经提及,对系统不会造成任何威胁。 Dell发言人也对媒体说明,「客户安全与隐私是Dell的首要任务,我们有严格的政策规定预载应用降到最少,且需评估所有应用的安全及可用性。Dell有完善的使用者安全作业规范以确保我们客户。」该公司表示已有团队调查本次事件,并将尽速提供最新进展。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
