据科技网站extremetech.com 11月24日报道,戴尔公司的新款笔记本电脑爆出类似联想公司曾出现的安全问题,戴尔部分笔电预装的安全评证让黑客可容易模仿任何以 HTTPS 保护的商业网站或银行网站。虽然事件仍在调查,但戴尔的过失似乎已经无法避免。
自从十年前索尼公司被爆出rootkit问题之后,联想公司今年年初发生的Superfish丑闻就是最严重的安全漏洞问题了。众多的笔记本电脑生产线都附带有可以利用自主开发的超文本进行安全连接的超文本协议。简言之,安装有superfish的电脑无法辨别其连接到的银行网站或者商业地址是否真实。而没有简单的办法能将这个软件删除,为了挽救系统,用户要付出惨重代价。
对此,戴尔公司的一名程序设计师乔 诺德表示,戴尔公司正在给笔记本电脑装配一种叫做eDellRoot的凭证,而正是这款软件才是此次事件的导火索。该凭证被允许用于所有目的,且效期截止到 2039 年,不仅如此,该凭证还有对应的公共钥匙和私钥,Joe Nord 称,尽管在一般使用者的电脑,不会有这样的情形发生,而且该私钥虽然已经标记为不可导出,但是任何人只要有办法取得这组私钥,就可以凭借伪造凭证造访任何网站,即便该网站为问题网站,使用者也会误以为这是安全网站。进而使用户的电脑受到黑客的攻击。而且由于基于 TLS安全协议,浏览器对于本端安装的凭证可不需公共钥匙钥的保护,因此就算计算机装有超文本协议的相关保护机制,也无法防止这类攻击。
对于戴尔公司的这次事件,Ars Technica网站表示愿意为广大受影响的用户提供服务,对相应的电脑进行测试。如果用户使用的戴尔电脑可以准确无误的利用IE和谷歌等浏览器上网,就说明该电脑已经有问题了。
事件爆发后,戴尔确认了这项安全漏洞,承认的确加载该凭证于消费与商用设备,尽管不清楚有多少系统装配了这种凭证,但是设置eDellRoot 凭证的目的,是为加速线上支持协定体验,并强调此次事件和联想公司的Superfish事件不同,因为他们没有预装任何广告或恶意软件。
对于此次事件,戴尔公司表示,客户的隐私与信息安全是公司最关心的问题,一定会采取严厉措施将用户的损失降到最低。并且将此问题摆在第一位,强调未来在戴尔系统中将卸载该项凭证,而目前有预载该项凭证的电脑,一有新的信息,将立刻向用户说明,并协助其由自己的电脑系统永久删除该凭证。(实习编译:袁修平 审稿:陈薇)
