Dell gebruikt zelf-gesigneerd certificaat op laptops

Het bestaan van het certificaat eDellRoot is ontdekt door een lezer van de nieuwssite Reddit. Kevin Hicks vond het zelf-gesigneerde rootcertificaat op zijn nieuwe XPS-laptop. Het is voorzien van een eigen privésleutel. Deze kan niet worden geëxporteerd, maar wel gekopieerd. Zij vergelijken de problemen die hierdoor kunnen ontstaan met Superfish van Lenovo. Superfish is malware die Lenovo op zijn laptops installeerde, waardoor extra advertenties en pop-ups op websites konden worden getoond. Deze ‘adware’ verving het beveiligingscertificaat van de bank door een eigen certificaat.

Het rootcertificaat maakt de systemen kwetsbaar voor aanvallen waarbij hackers versleutelde gegevens kunnen lezen en browserverkeer kunnen omleiden naar al of niet kwaadaardige websites.
Dell voert aan dat het certificaat bedoeld was om de klanten “een snellere, betere en makkelijker ondersteuning te kunnen bieden. Helaas zorgt het certificaat nu voor een onbedoelde verzwakking van de beveiliging.”
Hoeveel systemen voorzien zijn van het certificaat meldt Dell niet. Wel wordt het al gebruikt sinds augustus. Klanten krijgen nu instructies hoe ze het certificaat kunnen verwijderen.