No início do ano publicamos uma matéria em relação ao Superfish, um adware que foi instalado pela própria Lenovo em seus computadores, para que um certificado auto-assinado pelo adware pudesse ser utilizado, permitindo que dados pudessem ser capturados e informações de anúncio sejam exibidas. Na carta aberta divulgada pela Lenovo, o intuito dessa medida era ajudar os usuários a descobrir novos produtos e promoções interessantes. Porém, graças à essa traquitana, o atacante poderia utilizar a chave para certificar sites falsos, passando-se por um verdadeiro, além de permitir que uma conexão HTTPS pudesse ser recolhida sem criptografia.
Com a Dell o caso é parecido, já que também envolve uma “prenda” pré-instalada. Alguns usuários conseguiram descobrir um certificado raiz intitulado eDellRoot. Primeiramente esse certificado foi encontrado em um notebook Dell XPS 15, porém, já foi comprovado que diversos outros modelos também estão com o eDellRoot.
Assim como o Superfish, com esse certificado da Dell auto-assinado, o atacante poderia facilmente burlar o protocolo de proteção HTTPS. Ao imitar as credenciais desse certificado, o cibercriminoso poderia clonar qualquer site sem o conhecimento do usuário. Com essa ação, aquele caso clássico de acessar uma página e ser direcionado para uma página falsa poderia acontecer, podendo facilmente enganar o usuário para o roubo de informações.
O certificado pode ser removido, porém, pasmem, ele é reinstalado a cada reinicialização. E como se não fosse o suficiente, o certificado expira em 2039. De acordo com algumas informações divulgadas, esse certificado teria sido criado pela Dell em maio desse ano, alguns meses após toda a confusão envolvendo a Lenovo.
A Dell emitiu um comunicado que diz o seguinte:
A segurança e a privacidade do nosso cliente é algo muito importante para nós. Temos uma política rigorosa para minimizar o número de aplicações pré-instaladas, depois de avaliar a sua segurança e facilidade de uso. A Dell tem uma extensa prática de segurança para o usuário final, desenvolvendo as melhores práticas para proteger nossos clientes. Temos uma equipe investigando a situação e divulgaremos assim que tivermos novas informações.
Como na situação da Lenovo, toda a “assistência” e atualizações para remoção estão sendo movimentadas após os usuários descobrirem essas tais manobras.
Dentre a lista de equipamentos da Dell ligadas ao eDellRoot destacam-se os seguintes: XPS 15, Latitude E7450, Inspiron 5000, Inspiron 3647, Inspiron 15 e Precision M4800.
Confira como verificar e remover o eDellRoot
E se você pensa que acabou, lamento informar que ainda não. Além do eDellRoot, segundo o The Next Web, um problema com outro certificado pré-instalado também foi descoberto. Dessa vez envolve o DSDTTestProvider, que está presente nas novas linhas Inspiron e XPS da Dell.
Assim como o eDellRoot, o DSDTTestProvider também é instalado através da ferramenta Dell System Detect, dentro da Trusted Root Certificate Store. Esse certificado pode ser utilizado pelos atacantes para redirecionar o tráfego do usuário. A solução envolvendo esse novo certificado é um pouco mais complicada, porque ele está ligado à BIOS dos computadores, dificultando a remoção por parte da Dell.
Veja também
Sobre o Autor
Deixe seu comentário