Dell erkent veiligheidsblunder met certificaat op pc's

Dell heeft erkend dat het certificaat met privésleutel een beveiligingsrisico voor gebruikers van laptops van de fabrikant oplevert. Ook in Nederland treffen veel kopers het certificaat aan. Het probleem maakt misbruik met malware en man-in-the-middle-aanvallen mogelijk.

Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren', claimt Dell. Volgens beveiligingsbedrijf Duo Security gaat het om een onderdeel van Dell Foundation Services en zorgt het certificaat voor cryptografisch ondertekende versturing van bijvoorbeeld het modelnummer, de servicetag en serienummers. Volgens Dell gaat het hierbij niet om persoonlijke gegevens van klanten.

Het eDellRoot-rootcertificaat kan niet zomaar handmatig verwijderd worden: bij een restart zorgt een plugin met de naam Dell.Foundation.Agent.Plugins.eDell.dll voor herinstallatie. Deze plugin moet dan ook eerst verwijderd worden. Daarna is het eDellRoot-certificaat te verwijderen. Dell heeft zelf instructies in een docx-bestand gepubliceerd om de plugin en het certificaat te verwijderen. Bovendien belooft het bedrijf op 24 november een software-update uit te brengen die scant op de aanwezigheid van de bestanden om deze vervolgens te verwijderen.

Niet bekend is op hoeveel systemen het certificaat met private sleutel terecht is gekomen. Op Gathering of Tweakers geven meerdere gebruikers aan de bestanden aangetroffen te hebben, waaronder op een tablet. Anders dan maandag bericht kunnen de bestanden niet alleen misbruikt worden om malware te ondertekenen, maar ook om man-in-the-middle-aanvallen uit te voeren.

eDellRoot malware poc

Onderzoekers hebben inmiddels proof-of-concepts met het certificaat gemaakt voor .google.com en bankofamerica.com. Gebruikers van een betreffende Dell-computer die verbinding met die https-nepdomeinen maken, krijgen geen waarschuwing van hun browser dat ze geen versleutelde verbinding met het authentieke domein maken. Kwaadwillenden kunnen hiervan misbruik maken door wachtwoorden en bankgegevens te onderscheppen. Het Nederlandse beveiligingsbedrijf Surfright heeft een proof-of-concept software met het certificaat ondertekend. Malwareschrijvers zouden dit bij malware kunnen doen, om beveiliging van Windows te omzeilen.

Het probleem met het certificaat werd afgelopen dagen gemeld door enkele kopers van Dell-computers. De blunder van Dell doet denken aan het SuperFish-debacle van Lenovo, van begin dit jaar.

eDellRoot https-spoof

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-11-2015 09:16 45

24-11-2015 • 09:16

45

Lees meer

IBM en Lenovo leverden usb-sticks met malware aan Storwize-klanten
IBM en Lenovo leverden usb-sticks met malware aan Storwize-klanten Nieuws van 3 mei 2017
Windows gaat adware die man-in-the-middle-techniek toepast blokkeren
Windows gaat adware die man-in-the-middle-techniek toepast blokkeren Nieuws van 22 december 2015
Dell komt met update voor automatische schermhelderheid XPS 13 - update
Dell komt met update voor automatische schermhelderheid XPS 13 - update Nieuws van 21 december 2015
Windows Defender verwijdert Dells rootcertificaten met privésleutel
Windows Defender verwijdert Dells rootcertificaten met privésleutel Nieuws van 26 november 2015
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update Nieuws van 23 november 2015
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval Nieuws van 6 mei 2015
Lenovo belooft 'schone en veilige' computers na SuperFish-debacle
Lenovo belooft 'schone en veilige' computers na SuperFish-debacle Nieuws van 27 februari 2015
Lenovo brengt programma uit om Superfish-malware mee te verwijderen
Lenovo brengt programma uit om Superfish-malware mee te verwijderen Nieuws van 21 februari 2015
Microsoft brengt update Defender uit voor verwijderen SuperFish
Microsoft brengt update Defender uit voor verwijderen SuperFish Nieuws van 20 februari 2015
Maker Lenovo-malware: gebruikers waren niet kwetsbaar
Maker Lenovo-malware: gebruikers waren niet kwetsbaar Nieuws van 20 februari 2015
Https-verkeer Lenovo-laptops af te luisteren dankzij meegeleverde malware
Https-verkeer Lenovo-laptops af te luisteren dankzij meegeleverde malware Nieuws van 19 februari 2015
'Lenovo overtreedt wet met voorgeïnstalleerde malware'
'Lenovo overtreedt wet met voorgeïnstalleerde malware' Nieuws van 19 februari 2015
'Malware die Lenovo op laptops installeerde kaapte ssl-verbindingen' - update
'Malware die Lenovo op laptops installeerde kaapte ssl-verbindingen' - update Nieuws van 19 februari 2015
Meer producten en artikelen
Laptops Netwerk en systeembeheer Dell

Reacties (45)

-Moderatie-faq
45
45
30
4
0
0
Wijzig sortering
Tijntje 24 november 2015 12:43
De uitgebreide reactie van Dell.
http://en.community.dell....ing-edellroot-certificate
GamerPaps87 24 november 2015 09:22
Gelukkig reageert Dell wel adequaat en snel in dit geval. Dat ze het gewoon erkennen en gelijk en workaround geven en beloven een update z.s.m. uit te brengen is zeker wel goed en niet wat je altijd ziet in de Tech Industrie zoals een tijdje terug met Lenovo...

Kudo's voor de eerlijkheid van Dell in dit geval! :)
Rutje! @GamerPaps8724 november 2015 11:20
Lees ook even het vorige bericht hierover.
De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.
Kudo's mogen ze hebben als ze zelf het initiatief nemen, nu stonden ze al met de rug tegen de muur voodat het erkent werd.
LopendeVogel @GamerPaps8724 november 2015 09:34
Ja deze standaard reacties vallen me steeds meer op, natuurlijk is het goed dat ze erkenning geven. Van de andere kant, dacht je nou echt dat Dell hier niet van op de hoogte was? En dat dit allemaal per ongeluk op de computers geïnstalleerd heeft?
Wat dacht je indien niemand dit zou verspreiden op internet? Dat Dell dit uit zichzelf netjes zou vertellen?

Dell heeft in deze de keuze niet, dat ze wachten op dit moment is nog altijd ernstig. Uiteraard is dit beter dan zeggen: ja dat heeft de klant zelf allemaal gedaan, dat doen wij niet hoor. Maar dan nog vind ik dat ze hier echt geen kudo's voor verdienen..
Maurits van Baerle @LopendeVogel24 november 2015 09:45
Natuurlijk waren ze hier van op de hoogte, ze hebben het zelf geinstalleerd en ook niet geprobeerd te verbergen.

Ik vermoed dat ze goede bedoelingen hebben gehad (er is tegenwoordig veel meer aandacht voor encryptie en dat zij serienummer en asset tag encrypted wilden versturen is een logisch gevolg) en simpelweg niet stil hebben gestaan bij de specifieke manier waarop het misbruikt zou kunnen worden.
bbob
@Maurits van Baerle24 november 2015 10:10
Het hebben van goede bedoelingen neemt niet weg dat je van een wereldbedrijf als dell mag verwachten dat dit gewoon niet kan. als het misbruikt kan worden voor man in the middel zou ook dell dat moeten weten. Juist dat ze er schijnbaar niet bij stilstaan maakt dit juist zo erg.
Bij dell is er dus schijnbaar geen kennis cq. controle aanwezig om dit te voorkomen.

Het enige dat de dell marketing weet te melden is:
Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren',
Een voorbeeld van typische woorden zonder inhoud.

Nee Dell geeft het nu toe, maar de fout is gemaakt en het is een grote blunder.
gjmi @bbob24 november 2015 12:04
Ik ben het niet helemaal met je eens. Ja het is een blunder, maar je moet niet verwachten dat dit niet kan. Dat kan in het allerbeste bedrijf gebeuren. Waar mensen werken worden fouten gemaakt. En er zijn zeker wel teams binnen Dell die weten dat dit niet moet, maar niet alle software gaat langs alle teams. Helemaal niet als het software is waar je niet van zou verwachten dat deze certificaten op deze manier gebruikt.
Ik verwacht wel dat intern wat procedures aangepast zullen worden. Maar dan nog steeds maken mensen fouten. Niemand en geen enkel bedrijf kan daar om heen.

Tja, en tekst van marketing is altijd wollig zonder veel inhoud als ze het goed doen.
bbob
@gjmi24 november 2015 12:09
Waar mensen werken worden idd fouten gemaakt. Bij een bedrijf als dell mag je toch verwachten dat er controle processen zijn waardoor niet iedereen of een team op eigen houtje iets kan gaan doen, zonder controle/toestemming
gjmi @bbob24 november 2015 12:13
Je mag verwachten dat ze hun best doen. En er zijn vast procedures en controles. Maar er kan altijd iets door glippen.
terror538 @gjmi24 november 2015 13:55
Tuurlijk, fouten mogen gemaakt worden. Echter als je een omvang als die van Dell hebt en ook nog is een redelijk goede naam te behouden dan mogen dit soort fouten niet geshipped worden.
Voor goede QA moet je gewoon alle changes duidelijk loggen zodat je QA team alles kan controleren. Zeker als je het hebt over het plaatsen van nieuwe root certificaten in de store. Dat hier geen enorm strenge procedures voor zijn is bizar, dit is trouwens ook niet de eerste keer dat er een vergelijkbaar bericht op tweakers te lezen is.

Nogmaals, het is prima dat er fouten gemaakt worden, maar fouten van deze orde mogen gewoon niet naar de klant verscheept worden.
MadEgg @Maurits van Baerle24 november 2015 11:05
Ik vermoed dat ze goede bedoelingen hebben gehad (er is tegenwoordig veel meer aandacht voor encryptie en dat zij serienummer en asset tag encrypted wilden versturen is een logisch gevolg) en simpelweg niet stil hebben gestaan bij de specifieke manier waarop het misbruikt zou kunnen worden.
Daarvoor heb je dus public key encryptie. Je hoeft alleen de public key van het private/public-keypair van Dell op de PC's te installeren. Vervolgens encrypt je de gegevens met de public key en stuurt ze naar Dell. Omdat als het goed is alleen Dell en niemand anders de private key heeft, kan alleen Dell het bericht decrypten en zijn de gegevens dus veilig verzonden.

Gewoon een grote misser van Dell dus. Niet goed te praten.

[Reactie gewijzigd door MadEgg op 24 juli 2024 01:39]

Maurits van Baerle @MadEgg24 november 2015 11:09
Klopt, ik begrijp ook niet waarom ze dat niet gewoon gedaan hebben.
[Remmes] @MadEgg24 november 2015 11:44
Precies dit is gewoon slecht. En na de blunder van Lenovo snap ik niet waarom men niet denkt van "hè jongens, zullen we toch eens even controleren of wij het wel goed hebben".

Ik vraag mij dus nu af of wellicht andere fabrikanten ook deze fout hebben genaakt.
PizZa_CalZone @LopendeVogel24 november 2015 09:48
Hoewel je hoogstwaarschijnlijk gelijk zult hebben kan ik me voorstellen dat een certificaat als deze potentieel door meerdere mensen over het hoofd gezien kan worden bij een quality assurance test van de OEM software.
MadEgg @PizZa_CalZone24 november 2015 11:10
Een certificaat wat automatisch geinstalleerd en vertrouwt wordt, geleverd inclusief private key? Als het QA-team dat over het hoofd ziet mogen ze daar wel eens flink gaan herstructureren 8)7
jayjay1990 @GamerPaps8724 november 2015 09:26
Aan de andere kant kun je, je ook afvragen hoe het kan dat Dell bijna dezelfde fout maakt als Lenovo meer dan een halfjaar geleden.
Anoniem: 455646 @GamerPaps8724 november 2015 14:28
Nu reageren ze zo omdat iedereen erover valt.
Eerst was er niets aan de hand namelijk volgens Dell.
Nikvdw 24 november 2015 09:30
ik veronderstel als je een clean install van windows 10 doet (beginde bij het verwijderen van ALLE partities) dit cert niet geinstalleerd zal zijn?
Xudonax @Nikvdw24 november 2015 09:44
Het komt binnen als onderdeel van wat Dell utilities. Dus als je niet alle utilities installeert heb je kans dat je het certificaat niet hebt. Of misschien ook wel, aangezien ik niet durf te zeggen door welke utility dit precies meegeïnstalleerd word.
Nikvdw @Xudonax24 november 2015 09:49
Je zou wel dom zijn om dell apps te installeren (of eender welke vendor app). Dit is nou net de reden om een clean install te doen.
Xudonax @Nikvdw24 november 2015 09:53
Aan de ene kant ben ik het met je eens, maar als je de volledige functionaliteit van je laptop wilt (touchpad, Fn toetsen) dan ontkom je er vaak niet aan.
Nikvdw @Xudonax24 november 2015 09:58
Ik doe meestal gewoon windows update en die vindt de juiste drivers meestal wel. En tot nu toe heb ik nog geen functionaliteiten gemist (denk ik).
supersnathan94
@Nikvdw24 november 2015 10:43
Nah meer dan eens zijn dat standaard divers om een aantal functionaliteiten op te pakken. De echte mogelijkheden unlock je pas als je de manufacturen divers gaat installeren.
.oisyn Moderator Devschuur® @Nikvdw24 november 2015 09:58
Je zult toch in sommige gevallen drivers bij Dell vandaan moeten halen. Kans is groot dat die in een setup zitten met andere meuk. Natuurlijk is daar vaak wel een weg omheen (drivers extracten en handmatig toevoegen), maar wie doet dat nou?
Nikvdw @.oisyn24 november 2015 10:00
ik heb nog nooit drivers bij dell gehaald en alle hardware werkt.

[Reactie gewijzigd door Nikvdw op 24 juli 2024 01:39]

escabe @Xudonax24 november 2015 11:46
Nu we het toch over utilities van Dell hebben, "Backup and Recovery" is ook een mooie, maakt al je andere Qt5 applicaties (die ergens een file open/save dialog gebruiken) onbruikbaar: http://en.community.dell....ware-os/f/3526/t/19634253
BlackMage 24 november 2015 09:36
Ik vind dit niet in de buurt komen van het SuperFish-schandaal van Lenovo. Dat was gewoon pure hebzucht van Lenovo, om tegen betaling die rotzooi mee te leveren.

Dit van Dell is gewoon incompetentie. Ik weet niet wat erger is, maar het is wel wat anders.
Anoniem: 455646 @BlackMage24 november 2015 14:31
Incompetentie?
Jij als computer bouwer die een OS voorgeinstalleerd systeem verkoopt moet weten dat dit dom is en dat weten zij echt wel.
Hun hadden echter gehoopt dat niemand er zo snel achter zou komen.
ctrl-tab 24 november 2015 19:58
Leuke proof of concept maar er komt natuurlijk meer bij kijken dan alleen het certificaat te misbruiken voor SSL verbindingen (tussen gebruiker en webserver gaan zitten met een proxy en\of dns aanpassen)
Daarnaast moet de hackzor ook maar weten dat dit een dell machine is die kwetsbaar is.

Ja een leuk aanknopingspunt bij gerichte aanvallen. Maar niet interessant voor scriptkiddies gezien de beperkte groep potentiele slachtoffers...
marcelvb @ctrl-tab24 november 2015 20:56
Aangezien het voor een hacker niks kost om het te proberen en mensen verslaafd zijn aan gratis Wifi, zou ik dit risico niet durven te nemen.

Het is een kwestie van tijd voordat de instructies en/of software om dit te doen zeer wijd verbreid zijn en een kind de was kan doen.
oef! 24 november 2015 09:42
In het document staat een downloadlink naar een automatische fix: https://dellupdater.dell....P009/eDellRootCertFix.exe.
Overigens was het certificaat niet aanwezig op mijn XPS 13 uit 2014.
goofy_2005 24 november 2015 21:55
Ik heb niet een lijst kunnen ondekken met Dell model nummers waarbij dit eDellRoot-rootcertificaat is geinstalleerd. Dat zou wel uitermate handig zijn. Nu moet iedereen gaan zoeken of het op zijn/haar computer aanwezig is.

Ik heb het helaas ook aangetroffen op mijn Dell XPS 13 (9350). Met de Dell handleiding kunnen verwijderen. Blunder van Dell. 8)7
daft_dutch 24 november 2015 09:24
Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren',
O dat soort.. eerst QA het hele apparaat testen alles veriferen en dan gaat customer support er mee aan de haal

[Reactie gewijzigd door daft_dutch op 24 juli 2024 01:39]

PcDealer 24 november 2015 09:28
Hmmm, Laura heeft nog niet gereageerd; http://joenord.blogspot.n...comes-with-edellroot.html
Stove 24 november 2015 09:33
Het wordt eens tijd dat al die bloatware en andere rommel afgestraft wordt! Maar de meeste mensen zijn zich van geen kwaad bewust, zelfs bedrijven niet. Meer nog, als je voorstelt er eens een propere versie van windows op te zetten zijn ze bang dat het niet meer zal werken.
PdeBie @Stove24 november 2015 10:58
Dat kan, maar dan worden de laptops en systemen allemaal een stukje duurder. Is dat wat je wilt? Een clean install is namelijk zo gedaan en waarschijnlijk goedkoper :)
marcelvb @PdeBie24 november 2015 20:54
Geef mensen de optie.
[ ] Laptop met bloatware en Dell root certificate* € 349,-
[ ] Laptop met lege harde schijf € 399,-

* Zeer groot risico op hacks en trage pc. Dell is niet verantwoordelijk.

Ik weet wel wat ik zou kiezen... (ben linux gebruiker).
Anoniem: 455646 @Stove24 november 2015 14:32
bloatware meeinstalleren verbieden is onmogelijk zonder prijsverhogingen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq