Dell: Zertifikat auf Laptops soll HTTPS-Verschlüsselung gefährden

Der Computer-Hersteller Dell befindet sich gerade in einer scharfen Diskussion. Nutzer werfen dem Hersteller bei einigen Geräten Verfehlungen mit einem genutzten Zertifikat vor. Die ganze Geschichte erinnert ein wenig an die Superfish-Geschichte, die Lenovo Anfang des Jahres zu Recht beutelte. In Kurzform: ein Nutzer bei Reddit hat ein Zertifikat auf seinem Dell-Rechner entdeckt. Dieses Zertifikat (inklusive Private Key) kommt über eine Dell-Software, die für Kundenservice-  und Supportfunktionen gedacht ist.

Pikant ist allerdings, dass das Root-Zertifikat angegriffen werden können soll, sodass Angreifer den Opfern eigene, manipulierte Webseiten unterjubeln können, auch wenn das System sie als vertrauenswürdig ausgibt. Sofern man angegriffen wurde, könnte der Internet Explorer „alles ok bei der sicheren Verbindung zu Google“ melden, obwohl man sich auf der Seite eines Angreifers befindet – und eben dort seine Daten eingibt.

Das Zertifikat, das unter dem Namen „eDellRoot“ im Zertifikatsspeicher des Systems abgelegt ist, wird von Chrome und dem Internet Explorer berücksichtigt, nicht aber von Firefox, wie man bei Golem schreibt. Dort findet man mittlerweile auch ein Online-Tool, mit dem man testen kann, ob das eigene Dell-Notebook betroffen ist.

Golem teilt weiterhin mit, dass man schon seit einigen Wochen über die Problematik Bescheid wisse. Dell selber reagierte nicht auf die Anfrage, die bereits zwei Wochen zurück liegt. Sollte sich das Ganze als so brandgefährlich wie bei Lenovo herausstellen, dann dürfte dies ein Desaster für Dell werden. Eigentlich hätte man aus dem Fall Lenovo lernen müssen.

Dell selber hat offenbar schon reagiert, denn mittlerweile wurde das Treiberpaket auf der Webseite aktualisiert, dies war heute morgen noch nicht der Fall.