新闻链接：http://www.freebuf.com/articles/86953.html
 新闻时间：2015.11.25
 新闻正文： 

11月22日，戴尔多个机型的机器被爆出预装了一个被称为eDellRoot的根证书后门，证书还夹带了对应的私钥，证书被除了火狐外的大部分浏览器接受。形象地说，这意味着戴尔在电脑上开了个后门，后门上还插着把钥匙。

此漏洞可导致中间人攻击，且已发现利用此漏洞制作的病毒，这对被安装了后门的用户是个严重的安全威胁。另外，戴尔的不少机器上还被研究者发现安装了与eDellRoot类似的、被称为DSDTestProvider的另一种根证书后门。

一个后门引发的漏洞

事情是这样的：上周末，一位叫Kevin的歪果仁在社交新闻网站Reddit的论坛上发了个帖子，说自己买的戴尔的XPS 15系列电脑上，有个莫名奇妙的证书，奇怪的是证书居然还携带了对应的私钥。Kevin写道：

戴尔肯定知道，联想之前被发现在用户电脑上安装广告程序Superfish后所造成的巨大负面影响。但是，戴尔还是决定效仿联想，甚至有过之而无不及：这个证书甚至都不是被第三方安装的，而是戴尔自己。雪上加霜地是，至少我们知道联想的流氓证书后门Superfish是为了在用户的网页上嵌入广告，而我们不知道戴尔为什么要把这个根证书安装到自己用户的电脑上。
一位叫Nord的工程师，也在22号在个人网站上发文，说自己发现了新买的灵越5000笔记本存在同样的问题：“这个证书对应的私钥被设置为不可导出，但却可以通过工具来获取。”

德国一位名叫Hanno Bock的安全研究者也发现了这个漏洞：“每个攻击者都可以使用这个根证书来生成对任意网站都有效的证书。甚至HTTP公钥固定协议（HPKP）都无法防止这种攻击，因为浏览器提供商允许本地安装的证书跳过公钥固定保护。”

这个证书从8月开始被安装到戴尔的电脑上，证书包含了PC型号、驱动和操作系统等信息。这个漏洞意味着，黑客实际上可以伪装成证书颁发机构，随意生成用于中间人攻击的有效证书，或把用户引导到钓鱼网站，而这些钓鱼网站并不会像一般的非法网站一样被标示出来。

23号，戴尔对这个漏洞发表了声明，说明这个证书是为了为用户提供更好的在线支持，但由此导致了意想不到的安全漏洞。戴尔为用户提供了卸载这个证书的方法。戴尔还表示，用户自己重装的系统不受此漏洞影响。戴尔在一段声明中说：

戴尔不会在用户电脑上安装任何广告程序或恶意程序，一旦按照戴尔提供的方法卸载，证书不会再自动安装到用户电脑上。
到目前为止，已经被发现存在 eDellRoot的根证书后门的机型有：戴尔 XPS 15笔记本、M4800工作站主机、灵越台式机和笔记本。

如何确定是否存在后门

如何确定自己的戴尔电脑上有没有这个eDellRoot后门呢？（DSDTestProvider查找方法同eDellRoot），目前搜集到了两个有效的方法：

一、安全宝自动检测： 

http://lucky.anquanbao.com/，进入检测页面即可自动检测是否存在后门。如果存在后门，按照页面给出的文档删除后门或下载最新官方补丁即可。

二、手动检测：

打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构，查看有没有名为eDellRoot的证书，如果有，那电脑上就存在这个后门。查找DSDTestProvider方法一样，只是有可能在证书管理器里所在的位置和eDellRoot不一样。

如何删除eDellRoot后门

戴尔官方发布了一份手册，向用户说明了删除后门的方法（DSDTestProvider删除方法和eDellRoot类似），整理如下：

一、自动删除：

下载戴尔官方补丁，点击执行即可：

https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe

二、手动删除

见后门检测页面：http://lucky.anquanbao.com/。

[课程]Linux pwn 探索篇！