返回列表 回复 发帖

戴尔承诺的安全,变成了巨大的安全漏洞


戴尔公司(Dell Inc.)标志矗立在得克萨斯州奥斯汀市的公司总部外。彭博社SAM HODGSON报道,GETTY摄。

作为旗下高端产品xps 15推广的一部分,戴尔以这款笔记本的安全性作为卖点。“害怕superfish(一款预装在联想个人PC中的广告程序,但却会增加用户受到黑客攻击的风险)吗?”戴尔的产品页面援引今年早些时候令联想颜面尽失的安全漏洞问道,“我们预装的每个应用都要经历安全、隐私和适用性测试以保证我们的用户体验…减轻隐私和安全方面的担忧。”

即使在戴尔自己经历过安全漏洞后,那段话还留在页面上,而这次的安全漏洞和Superfish极其相似。这段话也可能一直留在原位以作警示:对安全的实现远比对安全的承诺困难。

如果你有一台戴尔,在读下去前先点击这里➡️(https://dellupdater.dell.com/Downloads/APP009/eDe llRootCertificateRemovalInstructions.pdf) (PDF) ,在这里你会找到修复你的电脑漏洞的详细的步骤。你有三个选择:下载一个补丁、手动修复或者等待戴尔今天推出的软件更新来为你修复。戴尔告诉连线杂志,后者可能需要一周来到达每台受到影响的电脑,手动修复需要一些专门知识和不停点鼠标,所以最好的选择似乎是补丁。

回到正文,那么你的补丁在修复什么?答案是一个根证书问题,这个问题由程序员Joe Nord最早注意到。结果显示,8月15日戴尔推出了一项更新,任何接受了该更新的商用或私人电脑都被安装了eDellRoot,eDellRoot是一份私钥在本地保存的预装SSL证书。因为被保存在电脑上,黑客不费力气就能获取这个密码。

“同样的私钥在多机系统中也被发现,意味着任何能进入该系统的人现在也能用它来伪装成证书持有者也就是电脑主人(进入电脑)”Jérôme Segura,Malwarebytes高级安全研究员解释,“密码容易泄漏使问题更严重。”

结果就是,SSL本该为你的浏览器和服务器之间交互保证安全,但现在它却很容易被攻破。“一个脆弱的根证书能强烈损害用户的私人通讯来为攻击者带来巨大优势。”Segura说,“电子邮件、即时通讯、密码和其它敏感数据正常应该经过SSL,但现在它们可能会被“中间人攻击”拦截或者篡改而不被受害人发现。称之为“中间人攻击”是因为黑客处于你和你的众多互联网终端之间,他可以收集任何经过的信息。

将此次事件比作Superfish是比较恰当的,但两者又不完全一致。SSL的薄弱是两起事件共同的核心问题,但在联想的事件中,违规方是Superfish,这款预装的广告软件被证明是有毒的。而戴尔的初衷从目前来看至少更加高尚。

“这款证书不是恶意软件或者广告软件。它只是想要为计算机提供戴尔在线支持的服务标记让我们可以快速验证计算机,这能让我们为用户提供更简单快速的服务,”戴尔发言人Laura Thomas写道,“这份证书并不是用来收集用户信息的。”

这可能对受到影响的消费者并起不到安抚作用。虽然这可能使目前的事件不像Superfiah那样恶劣,却也不会比漏洞好。

“如果实现的方法要求调整安全和隐私防护,有时美好的初衷可能带来可怕的结果,比如更轻松地进入用户电脑来减少应答时间,。”Segura说。
事实上,正是这些美好的初衷使得戴尔的例子如此具有教育意义。如果即使戴尔这样以安全性为卖点的公司都摔得这么惨,我们还怎么能相信其它的设备。

“这可能支持个人电脑不如其它的设备安全的观点,但事实是任何智能手机公司或者平板公司都可能犯过同样的错误,”Patrick Moorhead,Moor洞察与策略的创始人兼主席说,“没有安全百分百保证的电子设备,包括PC、平板、智能手机、电话控制台、智能手表和汽车。

的确,甚至靠宣称无法渗透的安全立足的黑机(blackphone)也在今年早些时候被一个允许黑客解密消息的漏洞所打倒。bu dao两个月前,谷歌就一系列错误发放的安全证书让赛门铁克这个世界上最大的网络安全公司丢尽颜面。

随着消费者越来越重视生活中的安全和隐私,不论黑机(blackphone)、苹果还是戴尔这些公司都想开发这个市场,而苹果去年刚被揭露其关键的SSL失效。这是有好处的,“我很高兴看到供应商谈论他们防护的等级,”Moorhead说,“因为这让公司里每个人都注意到他们需要对安全保持警惕。”

然而另一方面,这些公司可能宣传一些越来越难以实现的功能。前一天戴尔还举出Superfish的例子鼓吹自己的方法,第二天它的发言人就要发表声明说“我们正在采取措施积极解决此次事件,包括在公司范围内重新评价我们的程序以确保为我们的用户提供最大限度的安全防护。”

令人沮丧的是,戴尔曾经认为他们已经采取了这些措施。同样令人不安的是不知道有多少公司也这样错误地认为。
谁的等待,恰逢花开!
返回列表