Phát hiện máy tính Dell cài đặt sẵn mã độc hại
13:40 | 07/12/2015 | HACKER / MALWARE
Tương tự với vụ việc mã độc Superfish được phát hiện cài đặt sẵn trên laptop Lenovo, mới đây, một số máy tính để bàn và xách tay của Dell đã bị phát hiện cài đặt sẵn chứng chỉ SSL giả mạo, cho phép tin tặc giả mạo các website sử dụng giao thức HTTPS và theo dõi các hoạt động giao dịch trực tuyến của người dùng.
SSL giả mạo có tên eDellRoot được phát hiện vào cuối tháng 11 bởi một lập trình viên phần mềm Joe Nord. Chứng chỉ này được cài đặt sẵn dưới dạng chứng chỉ gốc và được ký bằng khóa bí mật, lưu trữ cục bộ. Điều này có nghĩa, tin tặc sẽ có khả năng trích xuất khóa bí mật và ký chứng chỉ TLS giả mạo với bất kỳ các website sử dụng giao thức HTTPS.
Bên cạnh đó, chứng chỉ giả mạo còn được sử dụng để thực hiện tấn công Man-In-The-Middle, lấy cắp tên người dùng, mật khẩu, cookie và các thông tin nhạy cảm khác, khi máy Dell bị ảnh hưởng được kết nối vào mạng Wi-Fi nguy hiểm tại các quán cà phê, bệnh viện, sân bay….
Đặc biệt hơn, chứng chỉ này có thể tự động cài đặt lại kể cả khi người dùng gỡ khỏi hệ điều hành Windows.
Các dòng sản phẩm Dell chứa chứng chỉ eDellRoot: Dell Inspiron 5000 series notebook, Dell XPS 15, Dell XPS 13. Ảnh hưởng lớn tới các máy Dell hiện có trên thị trường, đặc biệt là các mẫu máy mới gần đây như Dell Inspiron Desktop, XPS, và các mô hình Precision M4800 và Latitude.
Cách kiểm tra sự tồn tại của chứng chỉ giả mạo:
- Mở Start menu
- Chọn Run
- Nhập certmgr.msc và Enter
- Mở Trusted Root Certification Authority
- Chọn Certificates
- Chuột phải chọn Remove eDellRoot
Cách gỡ bỏ chứng chỉ giả mạo:
- Tìm và xóa tệp tin Dell.Foundation.Agent.Plugins.eDell.dll
- Sau đó loại bỏ eDellRoot theo các bước kiểm tra trên.
Bên cạnh đó người dùng được khuyến cáo nên sử dụng Firefox để duyệt web. Vì trình duyệt này có chức năng đưa ra các cảnh báo chứng chỉ giả mạo.
Trong một tuyên bố, người phát ngôn của Dell cho biết công ty đang điều tra báo cáo, xem xét các chứng chỉ và sẽ thông báo tới người dùng khi có thêm thông tin.
