据报道,戴尔笔记本预装了一种自签名根数字证书,可令攻击者监控流向任意安全网站的流量。
该问题首先在社交新闻网站Reddit上曝光,很快得到了其他用户和Twitter上安全专家的证实。这一根证书有权对笔记本进行认证授权,更糟糕的是,它还绑定了相应的私人密钥。
这一私人密钥目前已经在网上公布。有了私人密钥,任何人都可以为任意网站生成一个证书。微软IE、谷歌Chrome等浏览器使用了受影响笔记本上的Windows证书商店中的证书后,就会信赖这些网站。安全专家已经针对网站生成了概念验证证书。
戴尔在一份电邮声明中称,该证书名为eDellRoot,从今年8月起安装到了戴尔消费和商用设备中,目的是为消费者提供更好支持服务。
戴尔发言人称,公司正在开发一个安全更新,周一晚间或周二应该就会发布。戴尔称,他们已经在网站上公布了移除eDellRoot的指令,但是这一过程在技术上较为复杂。