Dell hat nun seinen eigenen Superfish-Skandal um gefährliche Root-Zertifikate, die auf einigen Laptops vorinstalliert sind und dessen Schlüssel leicht ausgelesen werden kann. So lassen sich relativ unkompliziert Man-in-the-Middle-Angriffe durchführen und eigentlich sichere HTTPS-Verbindungen mitlesen. Angreifen können manipulierte Webseiten erstellen und diese für den Nutzer als sicher anzeigen. Durch Bekanntwerden der Lücke hat sich Dell nun geäußert.

 

Dell

Facts 

Dell Laptops mit gefährlichem Root-Zertifikat ausgeliefert

Nach dem Superfish-Skandal um Lenovo und gefährlichen Root-Zertifikaten in Software ist nun auch Dell betroffen. Das Unternehmen hat Laptops ausgeliefert, auf denen ein Zertifikat mit dem Namen „eDellRoot“ vorinstalliert ist. Dieses gehört zu der Software Dell Foundation Services. Dell nutzt diese Software für Kundenservice-, Messaging- und Supportfunktionen, hat aber eine Sicherheitslücke für Angreifen eingebaut. Das Problem ist nun, dass der dazugehörige private Schlüssel des Zertifikats relativ ungeschützt auf den Endgeräten abgelegt und mittlerweile ausgelesen wurde. Mit dem entsprechenden Schlüssel können gefälschte Webseiten als sicher zertifiziert und verschlüsselte Verbindungen mitgelesen werden. Da das Zertifikat auch durch eine Neuinstallation nicht entfernt werden kann, muss zusätzliche Software genutzt oder manuell eingegriffen werden.

Bilderstrecke starten(15 Bilder)
Dell XPS 15 2-in-1 in Bildern: Ein echter Notebook-Traum in 4K

Dell reagiert zunächst nicht

Das Problem mit dem gefährlichen Root-Zertifikat wurde Dell laut Golem bereits vor über 2 Wochen mitgeteilt. Reagiert wurde darauf nicht. Die Vermutung, dass Dell seine Nutzer so ausspionieren könnte, wurde aber als unwahrscheinlich abgelegt. Es soll sich wie bei Lenovo nur um einen Fehler handeln. Einen Tag nach Bekanntwerden des Problems hat das Unternehmen nun doch eine Erklärung abgegeben. Mit dem öffentlichen Druck und nach dem Imageverlust von Lenovo durch den Superfish-Skandal will man nun ein Update ausliefern, welches nach dem Zertifikat sucht und dieses restlos entfernt. Das Update soll ab heute verteilt werden.

Wer auf Nummer sicher gehen will, kann auch einer Anleitung folgen, und das Zertifikat manuell entfernen.

Quelle: Dell via Golem

Dell XPS 15 bei Amazon bestellen

Video: Dell XPS 15 Vorstellung

Dell XPS 15 (2015) – Vorstellung

Hat dir dieser Artikel gefallen? Schreib es uns in die Kommentare oder teile den Artikel. Wir freuen uns auf deine Meinung - und natürlich darfst du uns gerne auf Facebook oder Twitter folgen.