戴爾電腦被曝安全漏洞 重蹈Superfish事件覆轍

*【環球科技綜合報道】*據科技網站extremetech.com 11月24日報道，戴爾公司的新款筆記本電腦爆出類似聯想公司曾出現的安全問題，戴爾部分筆電預裝的安全評證讓黑客可容易模仿任何以 HTTPS 保護的商業網站或銀行網站。雖然事件仍在調查，但戴爾的過失似乎已經無法避免。

自從十年前索尼公司被爆出rootkit問題之後，聯想公司今年年初發生的Superfish醜聞就是最嚴重的安全漏洞問題了。眾多的筆記本電腦生產線都附帶有可以利用自主開發的超文本進行安全連接的超文本協議。簡言之，安裝有superfish的電腦無法辨別其連接到的銀行網站或者商業地址是否真實。而沒有簡單的辦法能將這個軟件刪除，為了挽救系統，用户要付出慘重代價。

對此，戴爾公司的一名程序設計師喬•諾德表示，戴爾公司正在給筆記本電腦裝配一種叫做eDellRoot的憑證，而正是這款軟件才是此次事件的導火索。該憑證被允許用於所有目的，且效期截止到 2039 年，不僅如此，該憑證還有對應的公共鑰匙和私鑰，Joe Nord 稱，儘管在一般使用者的電腦，不會有這樣的情形發生，而且該私鑰雖然已經標記為不可導出，但是任何人只要有辦法取得這組私鑰，就可以憑藉偽造憑證造訪任何網站，即便該網站為問題網站，使用者也會誤以為這是安全網站。進而使用户的電腦受到黑客的攻擊。而且由於基於 TLS安全協議，瀏覽器對於本端安裝的憑證可不需公共鑰匙鑰的保護，因此就算計算機裝有超文本協議的相關保護機制，也無法防止這類攻擊。

對於戴爾公司的這次事件，Ars Technica網站表示願意為廣大受影響的用户提供服務，對相應的電腦進行測試。如果用户使用的戴爾電腦可以準確無誤的利用IE和谷歌等瀏覽器上網，就説明該電腦已經有問題了。

事件爆發後，戴爾確認了這項安全漏洞，承認的確加載該憑證於消費與商用設備，儘管不清楚有多少系統裝配了這種憑證，但是設置eDellRoot 憑證的目的，是為加速線上支持協定體驗，並強調此次事件和聯想公司的Superfish事件不同，因為他們沒有預裝任何廣告或惡意軟件。

對於此次事件，戴爾公司表示，客户的隱私與信息安全是公司最關心的問題，一定會採取嚴厲措施將用户的損失降到最低。並且將此問題擺在第一位，強調未來在戴爾系統中將卸載該項憑證，而目前有預載該項憑證的電腦，一有新的信息，將立刻向用户説明，並協助其由自己的電腦系統永久刪除該憑證。(實習編譯：袁修平 審稿：陳薇)