CIBERSEGURIDAD

¡Amigo, tienes Dell!

Duo Labs compró recientemente 14 computadoras portátiles Dell como parte de un proyecto de investigación más grande. Lo que encontraron los hizo extrañamente incómodos; ‘eDellRoot’ en la lista de certificados de confianza, ¡que no vencerá hasta 2039!
Han redactado un informe sobre su investigación y conclusiones, que se puede encontrar aquí: https://www.duosecurity.com/static/pdf/Dude,_You_Got_Dell_d.pdf

Los resultados

  • Hay dos certificados que se encuentran en las máquinas Dell, incluido un certificado raíz eDellRoot confiable
  • En la naturaleza, identificamos que uno de los sistemas que utilizan estos certificados para proporcionar servicios web a través de HTTPS era un sistema SCADA (control de supervisión y adquisición de datos)
  • eDellRoot se envía preinstalado con una clave privada asociada, lo cual es un gran error.
  • La investigación indica que Dell está enviando intencionalmente claves privadas idénticas en otros modelos
  • Esto significa que un atacante podría rastrear el tráfico de navegación web de un usuario de Dell y manipular su tráfico para entregar malware.
  • Duo Labs también encontró otro error de certificado en una máquina Dell: un certificado Atheros Authenticode también enviado con el software Bluetooth.En interés de la divulgación completa, incluimos la clave privada eDellRoot que identificamos y todo el paquete de certificados Atheros con esta publicación.

Impacto en el mundo real

Si un usuario estaba usando su computadora portátil Dell en una cafetería, un atacante sentado en la red wi-fi de la tienda podría potencialmente olfatear todo su tráfico encriptado TLS, incluidos datos confidenciales como contraseñas bancarias, correos electrónicos, etc.
El atacante también podría manipular el tráfico del usuario, por ejemplo, enviar malware en respuesta a solicitudes para descargar software legítimo o instalar actualizaciones automáticas, y hacer que parezca que todo está firmado por un desarrollador confiable.

https://www.duosecurity.com/blog/dude-you-got-dell-d-publishing-your-privates

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar