[Update] Neuer Ärger für Dell wegen Root-Zertifikaten
Das Root-Zertifikat namens DSDTestProvider wird zusammen mit der Support-Software Dell System Detect installiert. Dell liefert es mit dem zugehörigen privaten Schlüssel aus. Eine reine Deinstallation des Tools ist jedoch nicht zielführend. Das Zertifikat verbleibt nämlich auch danach noch auf dem Rechner.
Offenbar hat Dell mehr als nur ein selbst signiertes Root-Zertifikat ausgeliefert. Der Computerhersteller installiert das “DSDTestProvider” genannte Zertifikat jedoch nicht auf seinen Desktop-PCs und Notebooks, sondern verteilt es zusammen mit dem auf seiner Support-Website offerierten Werkzeug Dell System Detect (DSD). Dessen Aufgabe ist es, Geräte zu identifizieren und produktbezogene Supportinformationen bereit zu stellen, wie Computerworld berichtet.
Wie zuvor das eDellRoot-Zertifikat wird auch DSDTestProvider im Windows Root Store installiert, und zwar gemeinsam mit dem zugehörigen privaten Schlüssel. Folglich lässt es sich ebenfalls nutzen, um betrügerische Zertifikate für beliebige Websites auszustellen und auch per HTTPS verschlüsselte Kommunikation zu dechiffrieren. Computerworld verweist darauf, dass ebenso eine Signierung von Schadsoftware möglich ist, um sie legitim erscheinen zu lassen.
Dell bewertet das eDellRoot-Zertifikat in einem Blogbeitrag weder als Malware noch als Adware. “Das vorinstallierte Root-Zertifikat dient eigentlich nur dazu, Kunden besseren, schnelleren und einfacheren Support zu liefern. Unglücklicherweise führt es jedoch zu einer ungewollten Sicherheitslücke.”
Mittlerweile bietet der Computerhersteller auch eine Anleitung (PDF) zum Entfernen des ersten Root-Zertifikats sowie ein automatisches Removal-Tool an. Laut Computerworld ist beides allerdings noch nicht für das DSDTestProvider-Zertifikat erhältlich. Ebenso liege eine offizielle Stellungnahme des Unternehmens noch nicht vor.
Dem Bericht zufolge verbleibt das zweite Zertifikat auch nach der Deinstallation des Dell-System-Detect-Tools auf dem Rechner. Ein manuelles Entfernen sei jedoch über den Zertifikatsmanager “certlm.msc” möglich. Es finde sich dort unter der Rubrik “Vertrauenswürdige Stammzertifizierungsstellen” im Ordner “Zertifikate”.
Im April habe Dell System Detect eine Sicherheitslücke auf Geräten von Dell-Kunden geöffnet, heißt es weiter in dem Bericht. Eine von einem Sicherheitsforscher entdeckte Schwachstelle habe es Angreifern ermöglicht, Malware auf Systemen einzuschleusen, auf denen das Tool ausgeführt wird.
In einer Stellungnahme erklärt Dell die von ihm getroffenen Maßnahmen: “Als wir von dem eDellRoot-Zertifikat erfuhren, haben wir all unsere, auf Dell-PCs gespeicherten Anwendungen nach weiteren Root-Zertifikaten in den werksseitig installierten PC-Images durchforstet, hierbei aber nichts gefunden. Was wir allerdings herausfanden, war, dass sowohl die Dell-System-Detect-Applikation als auch das zugehörige Root-Zertifikat DSDTestProvider übereinstimmende Eigenschaften mit eDellRoot hatte. Im Fall von Dell System Detect lädt der Kunde die Software von sich aus herunter, um mit der Dell-Support-Website zu interagieren. Auf diese Weise können wir einen besseren und personalisierteren Support liefern. Daher ist das fragliche Support-Zertifikat [DSDTestProvider], genau wie eDellRoot, so gestaltet worden, dass es unseren Kunden einen schnelleren und einfacheren Support ermöglichen kann.“
Es seien nur jene Kunden von der potenziellen Schwachstelle betroffen gewesen, die die Funktionalität zum Erkennen eines Dell-Produkts zwischen dem 20. Oktober und dem 24. November 2015 genutzt hätten. Die Applikation sei dann jedoch von der Dell-Website entfernt und eine Ersatzanwendung, die ohne das Zertifikat auskomme, bereitgestellt worden. Weiterhin arbeitet Dell nach eigenen Angaben intensiv an einem Software-Update, um das Problem zu beheben. Zudem habe der Comnputerhersteller die Anleitungen zum dauerhaften Entfernen des ersten Root-Zertifikats auf seiner Support-Website verfügbar gemacht.
[mit Material von Stefan Beiersmann, ZDNet.de]