戴爾筆記本預(yù)裝自簽名根證書 可令黑客監(jiān)控網(wǎng)站流量

北京時間11月24日消息，據(jù)科技網(wǎng)站PCWorld報道，戴爾筆記本預(yù)裝了一種自簽名根數(shù)字證書，可令攻擊者監(jiān)控流向任意安全網(wǎng)站的流量。

該問題首先在社交新聞網(wǎng)站Reddit上曝光，很快得到了其他用戶和Twitter上安全專家的證實。這一根證書有權(quán)對筆記本進行認證授權(quán)，更糟糕的是，它還綁定了相應(yīng)的私人密鑰。

這一私人密鑰目前已經(jīng)在網(wǎng)上公布。有了私人密鑰，任何人都可以為任意網(wǎng)站生成一個證書。微軟IE、谷歌Chrome等瀏覽器使用了受影響筆記本上的Windows證書商店中的證書后，就會信賴這些網(wǎng)站。安全專家已經(jīng)針對*.google.com、bankofamerica.com網(wǎng)站生成了概念驗證證書。

戴爾在一份電郵聲明中稱，該證書名為eDellRoot，從今年8月起安裝到了戴爾消費和商用設(shè)備中，目的是為消費者提供更好支持服務(wù)。

戴爾發(fā)言人稱，公司正在開發(fā)一個安全更新，周一晚間或周二應(yīng)該就會發(fā)布。戴爾稱，他們已經(jīng)在網(wǎng)站上公布了移除eDellRoot的指令，但是這一過程在技術(shù)上較為復(fù)雜。