Portada
Hace 8 años | Por --439661-- a hipertextual.com
Publicado hace 8 años por --439661-- a hipertextual.com
Dell pre-instala certificados root en sus dispositivos

Dell pre-instala certificados root en sus dispositivos

 hipertextual.com

Un usuario de Reddit informa haber encontrado un certificado root pre-instalado llamado 'eDellRoot' que daría por buenas conexiones cifradas sin estar verificadas por una autoridad de forma pública. ¿Para qué instala Dell este certificado? Aún no está claro, y de momento solo hay dos casos confirmados, pero parece ser que está instalados en la gama de portátiles XPS recientes. Relacionada: http://www.xataka.com/ordenadores/potencial-malware-en-los-nuevos-dell-xps-15-similar-al-escandalo-superfish-de-lenovo

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.2k 25

Comentarios

ann_pe

"¿Para qué instala Dell este certificado?"

Por chapuza, o con malas intenciones, eso está claro.

V 9
K 94
D

#3 Mas bien sera por chapuza, si fuera con malas instalaciones intentarian colar un autofirmado de DELL a ver si colaba...

V 0
K 7
ann_pe

#16 Un autofirmado por si solo siempre daría un warning en los navegadores actuales, es mucho más peligroso un certificado raíz. Mira los enlaces de agradecimiento que hay en el post de Dell que he enlazado en #9, que describen muy bien el problema.

V 0
K 10
Wayfarer

#3 «Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez» -- Principio de Hanlon

https://es.wikipedia.org/wiki/Principio_de_Hanlon

V 1
K 22
Polmac

Esto no tiene por qué ser malo. Los fabricantes eligen qué autoridades de certificación incluyen en sus productos; normalmente los escoge el desarrollador del SO (Microsoft...), el del navegador web, el de la máquina virtual de java... ellos incluyen los que consideran "confiables".

En este caso el fabricante de PCs también ha añadido uno. No tiene por qué ser malo, o al menos no es peor que cuando nos fiamos de los que incluye Windows por defecto. Supongo que será por algún servicio suyo que han instalado en el PC que usa certificados propios para autenticar las conexiones.

Si se demostrara que lo han incluido con alguna intención sibilina su credibilidad quedaría a la altura del betún...

V 6
K 67
ann_pe

#4 Por el momento lo que se ha descubierto no es "tan grave" como lo de Lenovo al no haber un proxy configurado por defecto para que todo el tráfico pase por ahí, pero sí podría ser igualmente usado por un atacante mediante MITM si este puede acceder a la clave privada (por lo que dicen en Twitter la misma clave privada está en varios de los equipos afectados), que parece ser que se almacena en los portátiles estos al igual que en los que llevaban el Superfish.

Sea como sea, meter un certificado raíz para ahorrarte los 12€ al año que cuesta un certificado por dominio es bastante cutre para una empresa del tamaño de Dell, que no es una CA, y más si no guarda a buen recaudo la clave privada (para eso casi mejor que no use cifrado).

http://joenord.blogspot.com.es/2015/11/new-dell-computer-comes-with-edellroot.html

V 26
K 233
s

#4 Como dice #5 el problema es que la clave privada tambien esta en el portatil. Ya hay gente firmando ejecutables con ella:



Por cierto, parece ser que tambien pasa con laptops que Dell distribuye con Ubuntu.

V 13
K 112
D
autor

#4 #5 Información adicional... Parece que no es tan bueno.

http://hipertextual.com/2015/11/dell-certificados-de-seguridad

V 2
K 34
ann_pe

#23 Parece que es otro certificado más, no el eDellRoot que Dell ya reconoció como fallo. Este otro se llama DSDTestProvider.

V 0
K 10
D
autor

#24 Aps, gracias por la aclaración.

V 0
K 10
D

#4 Y aunque sea un servicio suyo. Es más importante nuestra privacidad, que no nos instalen cosas ocultas, que un supuesto servicio que luego, ni es tan beneficioso, ni funcionará, ni dará asistencia.
Mi privacidad vale mucho más que una asistencia que no he solicitado.

V 0
K 7
D
autor

Relacionada: http://www.xataka.com/ordenadores/potencial-malware-en-los-nuevos-dell-xps-15-similar-al-escandalo-superfish-de-lenovo

V 3
K 38
ann_pe
editado

Parece que por el efecto Reddit, Dell ha confirmado el problema (después de un mes de que apareciera en Twitter):


http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

V 2
K 34
D

tu quoque, fili mi!

V 2
K 30
D

#1 "La frase completa puede que fuese tu quoque, fili mi! (‘¡tú también, hijo mío!’)"
https://es.wikipedia.org/wiki/Tu_quoque

V 1
K 22
reithor

Si el certificado se llamara EldeGroot yo sospecharía de Stan Lee y Marvel.

V 1
K 21
D

Es como la chapuza de Telefónica para dar asistencia remota, aunque luego las contraseñas las conoce todo el mundo.

V 1
K 19
Lamercillo

Desde esta página se puede hacer un test para comprobar si tu ordenador es vulnerable: https://edell.tlsfun.de

Mi Dell XPS 13 de principios de año está limpio, pero seguramente por la instalación de Windows 10 que hice.

V 1
K 19
D
editado

Dell se disculpa y proporciona una aplicación para eliminar el certificado

http://arstechnica.com/security/2015/11/dell-apologizes-for-https-certificate-fiasco-provides-removal-tool/

V 0
K 15
Candidatas
27
meneos
tecnología Un ciberataque deja al descubierto los datos personales de miles de guardias civiles y militares
12
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
10
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
9
meneos
tecnología Microsoft levanta un bloqueo de dos años que impedía a estos usuarios de Windows 10 actualizarse a Windows 11
23
meneos
tecnología Crisis en el videojuego: más de 8.000 profesionales han perdido su puesto de trabajo en lo que llevamos de 2024
16
meneos
tecnología 'Game Over': la industria de los videojuegos se estanca tras el boom de la pandemia
20
meneos
tecnología Alguien está haciendo una IA que te podrás follar
22
meneos
tecnología España será la encargada de formar a todas las startups de ciberseguridad de la OTAN
7
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
9
meneos
tecnología Ver contenido erótico con 15 años en TikTok: vídeos permitidos por la plataforma que dirigen a webs porno
9
meneos
tecnología Linus Torvalds inyecta tabuladores para evitar que los analizadores Kconfig las manejen incorrectamente (ENG)
7
meneos
tecnología 15 gráficos que exponen el estado de la IA en 2024 [ENG]
6
meneos
tecnología Es la hora de ‘AIbus’: por qué Europa debe crear una gran empresa de AI
8
meneos
tecnología Space Solar ha desarrollado el primer sistema de transmisión de energía inalámbrica de 360º del mundo
7
meneos
tecnología Lockheed Martin presenta el nuevo misil hipersónico Mako, que puede ser transportado internamente por el F-35
12
meneos
tecnología OpenAI y Meta afirman tener listos modelos de IA capaces de "razonar"
6
meneos
tecnología Cómo vencer a los ordenadores cuánticos
11
meneos
tecnología Yolanda Morató: «El uso amateur de un traductor automático no puede sustituir un trabajo profesional, igual que buscar tus síntomas en Google jamás podrá suplir la consulta con un especialista»
6
meneos
tecnología Sierra Space quiere entregar suministros bélicos desde el espacio
D
editado

Et tu, Dell?

editado:
Parece que no es como lo de Lenovo, es "simplemente" un certificado para comunicarse con Dell. Esperemos.

V 0
K 8
c

Que todo el mundo haga como yo; El SO de fábrica a /dev/null...

V 0
K 7
D

#13devnulldevnull estará encantado

V 2
K 28
devnull

#15 jajaja exacto. Vosotros mandadme todos vuestros SO

V 1
K 25
D

Recordad chicos, Apple es mala, hay que comprarse un Dell o Lenovo.

V 0
K 6
D

Luego querrán que no pirateemos y no nos hagamos hackers.
Si ellos son los que nos piratean, roban y violan nuestra privacidad, nuestros datos y nuetros derechos.

V 1
K 2