Un nuovo caso Superfish minaccia la sicurezza dei PC portatili basati su OS Windows, e questa volta a essere coinvolta è la statunitense Dell, che sembra aver seguito la stessa strada di Lenovo nella compromissione “involontaria” dei laptop dei clienti consumer.
Il problema è esattamente lo stesso sperimentato dagli utenti di PC Lenovo all’inizio dell’anno, vale a dire la presenza sul sistema di un certificato di sicurezza TLS auto-firmato ed emesso da un’organizzazione chiamata “eDellRoot”. La chiave crittografica usata per la firma può essere estratta con relativa facilità, e infine usata per compromettere il traffico “sicuro” delle comunicazioni HTTPS.
La presenza della minaccia eDellRoot è stata denunciata da più di un utente nel corso del weekend , e il problema riguarda svariati modelli e marchi di PC (laptop e desktop) commercializzati da Dell, inclusi Inspiron, Precision M4800, XPS 15 e possibilmente altri ancora.
La risposta della corporation non si è in ogni caso fatta attendere molto: Dell ammette l’esistenza del pericoloso certificato, a quanto pare emesso dall’applicazione Dell Foundation Services installata sul PC e utile al servizio di supporto dell’azienda per assistere meglio gli utenti in caso di necessità.
Dell ringrazia chi ha evidenziato i rischi di sicurezza di eDellRoot rassicurando sulle finalità del servizio e il rispetto della privacy dell’utente, fornendo altresì istruzioni per eliminare il certificato dal PC. Tutto risolto quindi? Assolutamente no: eDellRoot è molto più pericoloso di quanto sostiene Dell, avvertono i ricercatori, e la sua rimozione è più problematica del previsto.
Come denuncia Robert Graham , infatti, la falla che un certificato autofirmato come eDellRoot apre nelle comunicazioni telematiche è enorme e fornisce ai cyber-criminali un potenziale asso nella manica per combinarne delle belle. Dell dovrebbe entrare in panico, dice Graham, tanto più che la semplice rimozione del certificato non serve a eliminarlo dal sistema: al successivo riavvio il certificato è di nuovo al suo posto a causa di un plug-in chiamato Dell.Foundation.Agent.Plugins.eDell.dll .
Alfonso Maruccia