Certificati insicuri, ci casca anche Dell

L'azienda americana, come in precedenza Lenovo con Superfish, dispensa certificati di sicurezza auto-firmati sui laptop. I certificati si possono facilmente compromettere, avvertono gli esperti, e alla fine Dell si pente

Roma – Un nuovo caso Superfish minaccia la sicurezza dei PC portatili basati su OS Windows, e questa volta a essere coinvolta è la statunitense Dell, che sembra aver seguito la stessa strada di Lenovo nella compromissione “involontaria” dei laptop dei clienti consumer.

Il problema è esattamente lo stesso sperimentato dagli utenti di PC Lenovo all’inizio dell’anno, vale a dire la presenza sul sistema di un certificato di sicurezza TLS auto-firmato ed emesso da un’organizzazione chiamata “eDellRoot”. La chiave crittografica usata per la firma può essere estratta con relativa facilità, e infine usata per compromettere il traffico “sicuro” delle comunicazioni HTTPS.

La presenza della minaccia eDellRoot è stata denunciata da più di un utente nel corso del weekend , e il problema riguarda svariati modelli e marchi di PC (laptop e desktop) commercializzati da Dell, inclusi Inspiron, Precision M4800, XPS 15 e possibilmente altri ancora.

La risposta della corporation non si è in ogni caso fatta attendere molto: Dell ammette l’esistenza del pericoloso certificato, a quanto pare emesso dall’applicazione Dell Foundation Services installata sul PC e utile al servizio di supporto dell’azienda per assistere meglio gli utenti in caso di necessità.

Dell ringrazia chi ha evidenziato i rischi di sicurezza di eDellRoot rassicurando sulle finalità del servizio e il rispetto della privacy dell’utente, fornendo altresì istruzioni per eliminare il certificato dal PC. Tutto risolto quindi? Assolutamente no: eDellRoot è molto più pericoloso di quanto sostiene Dell, avvertono i ricercatori, e la sua rimozione è più problematica del previsto.

Come denuncia Robert Graham , infatti, la falla che un certificato autofirmato come eDellRoot apre nelle comunicazioni telematiche è enorme e fornisce ai cyber-criminali un potenziale asso nella manica per combinarne delle belle. Dell dovrebbe entrare in panico, dice Graham, tanto più che la semplice rimozione del certificato non serve a eliminarlo dal sistema: al successivo riavvio il certificato è di nuovo al suo posto a causa di un plug-in chiamato Dell.Foundation.Agent.Plugins.eDell.dll .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Pianeta Ordine Sociale scrive:
    ...
    Se lo scopo è ostacolare i criminali, giusto che la rete venga zittita! Se anche un solo criminale viene arrestato grazie a questo, sarà stata una decisione saggia, chiaro? I criminali vanno ostacolati, senza "se" e senza "ma"! @^
    • Il Trolla Troll scrive:
      Re: ...
      - Scritto da: Pianeta Ordine Sociale
      Se lo scopo è ostacolare i criminali, giusto che
      ai bambini vengano asportate le mani da piccoli
      in modo che non possano rubare!ben detto fratè!
      • Cognome scrive:
        Re: ...
        - Scritto da: Il Trolla Troll
        - Scritto da: Pianeta Ordine Sociale

        Se lo scopo è ostacolare i criminali, giusto

        che ai bambini vengano asportate le mani da

        piccoli in modo che non possano rubare!

        ben detto fratè!Tano son negri.
  • bubba scrive:
    azione giusta per i motivi sbagliati
    intendo "zittire i social network", non internet..... :)Pensa che meraviglia se lo facessero anche qui...... a renzie e salwini verrebbero le convulsioni... 24ore senza poter compulsare su twitter e fakebook.... :D
    • prova123 scrive:
      Re: azione giusta per i motivi sbagliati
      e senza taggare i terroristi ... :D
      • prova123 scrive:
        Re: azione giusta per i motivi sbagliati
        [img]http://www.aurhelio.it/wp-content/uploads/2014/06/renzi-premier-738x491.jpg[/img]"Ma quanti erano ? ... 3... 4 ... mah!"
      • bubba scrive:
        Re: azione giusta per i motivi sbagliati
        - Scritto da: prova123
        e senza taggare i terroristi ... :Dma una volta taggati ,la polizia di FB li manda subito a guantanamo senza passare dal via? se si, taggo subito mia suocera.
        • prova123 scrive:
          Re: azione giusta per i motivi sbagliati
          Dopo che li avrà taggati tutti tramite tweet dirà:[img]http://formiche.net/thumb/580x950/2014/09/10051/a/zc1/q100/MATTEO-RENZI_05_resize.jpg[/img]Adesso ho l'album completo! :D
Chiudi i commenti