RTX136YA_Dell_24NOV15

Dell’in HTTPS Sertifika Fiyaskosu

Dell yetkilileri, HTTPS güvenliğini kullanarak koruma sağlayan sitelere erişimle ilgili ciddi bir açık içeren PC’leri kullanıcılara gönderdikleri için özür dilediler. Bazı Dell bilgisayarlar, güvenlik sertifikaları eDellRoot adlı kaynak tarafından onaylanmış olarak sunuldu. Kullanıcıların bilgisayat deneyimini basitleştirmek için atılmış bu adımdan ötürü bazı klasik saldırı yöntemleri kolayca uygulanabilir hale geldi. Dell bilgisayar sahipleri HTTPS korumasına rağmen sitelere enjekte edilen zararlı reklamları görmeye ve riski duruma düşmeye başladılar. Sertifikalar zararlı kod içermese de güvenliği azaltıp reklam girişine izin verdi. Bu sistem gerçekte Dell online destek hattının kullanıcıdaki sistemi kolayca tanıyabilmesi için seçilmişti. Artık Dell tarafından sözü edilen zayıf güvenlik sertifikasının sistemden nasıl kaldırılacağı açıklanıyor. Bazı Dell kullanıcıları durumu fark edip habere dönüştürünce Dell adım atmak zorunda kaldı. eDellRoot sertifikası manuel yolla kaldırılabiliyor. Duo Security açıklamasına göre durum bundan daha vahim. Analize göre Bluetooth yönetim sisteminde de “t-span” adlı son derece basit bir parola kullanılmış durumda ve Dell sistem sahiplerini bir diğer güvenlik riski bekliyor. Ancak bu sertifika 2013’de zaman aşımına uğradı ve risk daha düşük.

Etiketler: , , ,

Yorum yazın