Dellは、ハッカーが、暗号化された、インターネット・トラフィックを詮索できるようにした、セキュリティの欠陥を修正する計画である。 2015年11月23日
By Nathan Olivarez-Giles and Danny Yadron、WSJ
DellのPCのセキュリティの欠陥の脆弱性をテストするために、セキュリティのリサーチャ、Kenneth White氏により構築された、bankofamerica.comサイトのふりをした、Webサイトのスクリーン・ショット
2015年8月以降に、出荷された、DellのPCに、プレインストールされた、いくつかのソフトウェアには、ハッカーが、暗号化されたインターネット・トラフィックを詮索できるようにした、バグが含まれていたという。
コンピュータ・セキュリティのリサーチャKenneth White氏により、発見された、このセキュリティの欠陥は、コンピュータ・ユーザを保護するために、暗号方式を実装することが、困難であることを示した。
Dellは、カスタマ・サポート要求において、同社のサポート・ソフトウェア、eDellRootで、顧客の身元確認を確認するのを、さらに容易にすることを試みており、サポート・セッション中に、顧客の身元を確認するために、同社が出荷するPCに、認証局(CA)と呼ばれる、マスターの秘密鍵を組み込んだ。
このサポート・ソフトウェア、eDellRootには、ルート証明書と一緒に秘密鍵も格納されており、セキュリティ上の脅威になっているという。
賢いハッカーは、マシンにより送られる、暗号化されたデータをスパイできるような、暗号鍵を作成するために、このマスターの秘密鍵を使用するだろう。
Dellのスポークスマン、David Frink氏は、Dellは、このeDellRootサポート・ソフトウェアの欠陥に対応した、セキュリティ・アップデートを作成しており、来週にも提供する予定であることを、メールで発表した。
Dellは、技術的に複雑なプロセスを通して、eDellRootサポート・ソフトウェアの欠陥の証明書を移行させるために、Webサイト上に、指示を投稿しているという
このDellのeDellRootサポート・ソフトウェアの欠陥は、Lenovo Groupが、昨年、同社のPCに、プレインストールしていた、広告表示ソフトウェア、Superfishの欠陥と似ている。
Lenovoは、このSnapfishソフトウェアの欠陥を修正するための、アップデートを提供したが、最終的に、この広告表示ソフトウェアを除去した。
Open Crypto Audit Projectのセキュリティ・リサーチャ、Kenneth White氏によると、さらに、「DSDTestProvider」という証明書にも、秘密鍵が格納されているため、同様のセキュリティ上の問題があるという。
Kenneth White氏によると、Dellの場合、この欠陥のある、「DSDTestProvider」という証明書は、ハッカーが、PCからデータを吸い上げることができる、ソフトウェアをインストールできるようにしたという。
Kenneth White氏によると、認証局が必ず問題が多いというわけではないが、Dellのようなメーカが、誤った構成をすると、大きな問題になるという。
Kenneth White氏は、Dellのユーザが、eDellRootサポート・ソフトウェアを利用するときに、脆弱性があるかどうかを確認するために訪問できる、Webサイトを作成した。
また、コンピュータのプログラマ、Joe Nord氏は、eDellRootサポート・ソフトウェアが、どのように動作し、いかに容易に、セキュリティ鍵へのアクセスを得るかに関する、詳細をブログで紹介した。
