Производителей «железа» неоднократно уличали в том, что они комплектуют свои устройства предустановленным шпионским и\или рекламным ПО. Стоит вспомнить хотя бы компанию Lenovo, на устройствах которой прошлым летом, фактически, обнаружили руткит. Теперь компания Dell села в ту же самую лужу. В минувшие выходные пользователь Reddit сообщил, что ноутбуки Dell поставляются со странным корневым сертификатом.
Первым о проблеме рассказал обладатель новенького лэптопа XPS 15 Кевин Хикс (Kevin Hicks). На Reddit он поделился неприятным открытием: пользователь обнаружил, что на машине предустановлен самоподписывающийся корневой сертификат (Certificate Authority) eDellRoot. Помимо сертификата обнаружился и приватный ключ, который отмечен как неэкспортируемый, но, разумеется, при желании, копию ключа создать можно.
Хикс предложил всем поискать у себя аналогичную проблему, сообщив, что проверить можно так: Пуск -> Командная строка -> Набрать "certmgr.msc" -> Открыть папку Trusted Root Certification Authorities -> Выбрать Certificates -> Поискать eDellRoot.
Свой сертификат, приватный ключ и PFX-файл Хикс выложил на файлообменник Mega, сообщив, что пароль от PFX: «dell».
«Разумеется, компания Dell видела, какие ужасные отзывы в прессе получила Lenovo, когда люди поняли, что такое Superfish. Тем не менее, Dell решила сделать то же самое и даже хуже. Это даже не стороннее приложение, установленное на устройство, это их собственная bloatware, — пишет Хикс. — Хуже того, вообще непонятно, для каких целей нужен данный сертификат. По крайней мере, мы знали, что Superfish просто внедряет рекламу в веб-страницы, а что пытается сделать Dell вообще непонятно».
Вслед за обсуждением на Reddit, программист из Флориды Джо Норд (Joe Nord) опубликовал сообщение в личном блоге. Норд написал, что обнаружил точно такую же проблему на своем ноутбуке Dell Inspiron 5000, который купил в прошлом месяце. Сертификат eDellRoot, по сообщению Норда, является универсальным (All purpose) и действителен до 2039 года.
На этом этапе стало ясно, что сертификат eDellRoot и приватный ключ одинаковы на всех девайсах Dell, — пользователи один за другим сообщали, что обнаружили на своем устройстве то же самое. Судя по всему, сертификат содержат ноутбуки серии Inspiron 5000, XPS 15, XPS 13, Inspiron Desktop, XPS, Precision M4800 и Latitude.
Компания Dell использовала практически ту же тактику, что и компания Lenovo ранее, ведь eDellRoot может быть использован для подписания абсолютно любых сертификатов, в том числе, поддельных. Аналогичный трюк можно проделать и с приложениями, подписав их, чтобы те заработали на компьютере жертвы.
Вечером 23 ноября 2015 года компания Dell наконец ответила обеспокоенным пользователям. Официальное сообщение гласит:
«Сертификат не является вредоносным ПО или adware. Предполагалось, что он поможет сотрудникам онлайн-поддержки Dell быстро идентифицировать модель компьютера, тем самым облегчив и ускорив процесс обслуживания клиентов. Данный сертификат не использовался для сбора каких-либо данных. Также важно заметить, что сертификат не восстановится в системе самостоятельно, после правильно проведенной процедуры удаления».
Компания уже опубликовала подробную инструкцию по удалению сертификата eDellRoot вручную и пообещала в ближайшие дни выпустить обновление, которое будет искать и удалять сертификат автоматически. Dell также принесла извинения пострадавшим пользователям, и поименно поблагодарила исследователей, которые первыми заметили неладное и привлекли внимание к проблеме.
Фото: Dell