戴爾也爆出安全證書漏洞

個人電腦已經(jīng)成為夕陽行業(yè)，銷量逐年大跌，廠商開始轉(zhuǎn)型，除了銷售下滑之外，PC行業(yè)出現(xiàn)了另外一個夕陽化中的伴生現(xiàn)象：安全丑聞頻出，繼聯(lián)想集團(tuán)、三星電子之后，另外一家電腦大廠戴爾，日前也爆出了一個和數(shù)字證書和私鑰有關(guān)的重大人為安全漏洞，可以讓黑客隨意攻入電腦系統(tǒng)、盜取數(shù)據(jù)。

據(jù)Engadget等多家美國科技新聞網(wǎng)站報道，戴爾銷售的部分新款電腦中，植入了戴爾公司自行簽署的一個數(shù)字證書，而這一證書在出現(xiàn)問題的電腦中完全一樣，因此如果黑客獲得了一張數(shù)字證書的私鑰文件(難度并不大)，則可以對所有安裝了這一證書的電腦發(fā)動攻擊。

另據(jù)報道，在一些電腦中，戴爾也提供了和數(shù)字證書配合的私鑰文件，這也是重大安全失誤。

據(jù)報道，這一安全漏洞，和聯(lián)想集團(tuán)的“Superfish丑聞”有些類似，只不過數(shù)字證書的簽署方，是電腦廠商自身。

據(jù)報道，用戶已經(jīng)在戴爾部分XPS、Inspiron 5000系列的電腦中發(fā)現(xiàn)了這份雷同的數(shù)字證書，黑客可以破解這一證書，向問題電腦上傳惡意軟件，盜取機(jī)密信息，或是把戴爾電腦轉(zhuǎn)為一個用于網(wǎng)絡(luò)攻擊的“肉雞電腦”。

如果消費者曾經(jīng)購買了戴爾電腦，可以訪問這一網(wǎng)址https:/bogus.lessonslearned.org，該網(wǎng)站將利用一個私鑰文件驗證電腦身份，如果出現(xiàn)一個寵物狗的標(biāo)志，則證明用戶的戴爾電腦“中招”。

美國網(wǎng)絡(luò)安全公司Errata的首席技術(shù)官Robert Graham在一篇博文中表示，如果他是一個黑客，在知道了戴爾這一漏洞之后，他會以最快速度走到最近的一個大型機(jī)場，購買一張國際航班的頭等艙機(jī)票，這些乘客買得起一萬多美元的機(jī)票，他們?nèi)绻麛y帶的是戴爾電腦，一定有值得盜竊的機(jī)密數(shù)據(jù)。

上述專家表示，如果獲得了戴爾數(shù)字證書的私鑰文件，黑客可以對同一個Wi-Fi網(wǎng)絡(luò)中的電腦發(fā)動“中間人攻擊”。

簡而言之，如果黑客獲得了一個私鑰文件，那么他們可以假冒其他問題戴爾電腦的身份對網(wǎng)絡(luò)服務(wù)器、其他電腦發(fā)動攻擊。

除了Wi-Fi網(wǎng)絡(luò)之外，其他惡意的網(wǎng)站也可以利用私鑰文件和數(shù)字證書，假冒戴爾的身份，向其他戴爾電腦上傳惡意程序。

對于媒體報道，戴爾公司表示正在對這一安全問題展開調(diào)查。隨后，該公司宣布，將盡快刪除這一問題數(shù)字證書，戴爾也提供了相關(guān)的方法，讓消費者刪除數(shù)字證書文件。

行業(yè)現(xiàn)象

伴隨著智能手機(jī)的流行，個人電腦逐步?jīng)]落。權(quán)威機(jī)構(gòu)的數(shù)據(jù)顯示，全球電腦銷量已經(jīng)連續(xù)多年以一成的速度萎縮，聯(lián)想、惠普等企業(yè)，要么面向企業(yè)市場轉(zhuǎn)型，要么向智能手機(jī)領(lǐng)域求生存。

在企業(yè)內(nèi)部的轉(zhuǎn)型重組中，由于技術(shù)資源的調(diào)整等因素，導(dǎo)致個人電腦產(chǎn)品中出現(xiàn)了前所未有的大規(guī)模安全漏洞和丑聞。

2015年年初，聯(lián)想集團(tuán)的電腦被爆出預(yù)裝了一款惡意軟件Superfish，給用戶信息造成極大風(fēng)險，由于聯(lián)想是全球最大電腦廠商，此事引發(fā)了軒然大波，并導(dǎo)致聯(lián)想官方網(wǎng)站被黑客攻擊。

2015年年中，另外一家電腦廠商三星電子，其產(chǎn)品中也出現(xiàn)了安全問題，三星意外禁止用戶更新Windows操作系統(tǒng)，將導(dǎo)致用戶無法及時修補(bǔ)系統(tǒng)漏洞，從而成為黑客下手的誘人目標(biāo)。