Dell Foundation Service ermöglicht Tracking von Nutzern
Im Dell Foundation Service zur Wartung von Computern klafft eine Schwachstelle, über die Angreifer die Service-Tag-Nummer auslesen können. Eine gefixte Version steht zum Download bereit.
(Bild: dpa, Kay Nietfeld)
Der Dell Foundation Service ist offenbar in den Versionen bis einschließlich 2.3.3800.0A00 verwundbar. Besucht ein Nutzer eine präparierte Webseite, können Angreifer die Service-Tag-Nummer des Computers auslesen, erläutert ein Sicherheitsforscher mit dem Pseudonym Slipstream. Die Information könne ein Angreifer nutzen, um Nutzer im Internet zu identifizieren und zu verfolgen.
Auf einer Proof-of-concept-Webseite kann man überprüfen, ob man betroffen ist. Wurde der Dell Foundation Service deinstalliert, können Angreifer die Service-Tag-Nummer nicht mehr aus der Ferne auslesen, erläutert Slipstream.
Die aktuelle Version 3.0.700, A00 des Dell Foundation Services soll die Schwachstelle zum Auslesen der Service-Tag-Nummer Dell zufolge nicht mehr aufweisen. Dell rät allen Nutzern, so schnell wie möglich auf diese Version zu aktualisieren.
Service-Tag-Nummer über zwei Wege auslesbar
Das Dell-Foundation-Service-Tool dient Wartungszwecken und der Support des Herstellers kann Dell-Computer über die Service-Tag-Nummer identifizieren. Dafür lauscht das Tool Slipstream zufolge auf Port 7779. Findet eine Anforderung der Nummer statt, muss die Anfrage mit einem RSA-1024-Schlüssel (SHA512) signiert werden.
Doch Slipstream berichtet, dass eine JSONP-API die Service-Tag-Nummer auch ohne gültige Signatur ausspuckt. Eine präparierte Webseite könne so die Nummer abfragen. Wie das im Detail funktioniert, erläutert der Sicherheitsforscher nicht.
Eine weitere JSONP-API verlangt wiederum eine gültige Signatur. Aber auch an dieser Stelle können Angreifer die Nummer auslesen. Denn Slipstream zufolge kann man sich die Signatur aus JavaScript von verschiedenen Dell-Webseiten extrahieren.
Reaktion von Dell zu den CA-Zertifikaten
Dell sorgt seit vergangener Woche für negative Schlagzeilen, weil Support-Anwendungen auf Computern des Herstellers zwei Root-CA-Zertifikate inklusive den dazugehörigen privaten Schlüsseln im Windows Zertifikatsspeicher verankern. Damit können Angreifer die Echtheit beliebiger Zertifikate beglaubigen und sich als Man in the Middle in verschlüsselte HTTPS-Verbindungen einklinken und mitlesen.
Der Umgang von Dell mit den gefährlichen Root-Zertifikaten ist leider bislang eher leichtfertig. So weigert sich der Hersteller hartnäckig mitzuteilen, auf welchen Geräteserien die Root-Zertifikate installiert sind und wie viele Computer insgesamt betroffen sind. Zudem gibt es noch immer keine Perspektive, wie betroffene Nutzer beschützt werden können. Denn mit der Veröffentlichung eines Patches (Download) und Workaround zum Entfernen der Root-CA ist es nicht getan.
Als einer der weltweit größten Computerhersteller sollte Dell sich seiner Verantwortung bewusst sein und betroffene Nutzer angemessener warnen und aufklären. Schließlich führt der laxe Umgang mit den Root-CA-Zertifikaten inklusive privater Schlüssel die Transportverschlüsselung von Webseiten und somit einen der Grundpfeiler der Sicherheit im Internet ad absurdum. (des)
