uf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

Neben den Problemen mit gefährlichen Root-Zertifikaten wurde kürzlich ein weiteres Problem in einer von Dell vorinstallierten Software entdeckt: Die Dell Foundation Services erlauben es beliebigen Webseiten, den sogenannten Service-Tag von PCs und Laptops auszulesen. Der Service Tag ist eine eindeutige Nummer, die jeden Dell-Computer identifiziert. Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten, die Antworten erscheinen jedoch eher konfus und deuten darauf hin, dass man bei Dell offenbar Schwierigkeiten hat, das Problem nachzuvollziehen.
JSON-API lauscht auf Port 7779

Beschrieben hat das Problem ein Hacker mit dem Pseudonym Slipstream auf der Webseite LizardHQ. Auf Systemen, die die Dell Foundation Services installiert haben, lauscht auf Port 7779 ein HTTP-Server mit einer JSON-API. Die Dell Foundation Services waren bereits für das zweite entdeckte Dell-Root-Zertifikat verantwortlich.

Webseiten können Anfragen an diese JSON-API schicken. Diese Anfragen müssen jedoch signiert sein. Offenbar wird ein Teil der API deaktiviert, wenn man die Anleitungen zum Entfernen des eDellRoot-Zertifikats befolgt, da die Anfragen mit diesem Zertifikat signiert sein müssen.
Signatur lässt sich aus Dells Javascript-Code auslesen

Doch auch nach der Entfernung des eDellRoot-Zertifikats bleibt ein Teil der API aktiv, mit dem sich der Service-Tag der betroffenen Geräte auslesen lässt. Zwar verlangt auch diese API, dass die Anfragen signiert werden, doch eine signierte Anfrage konnte Slipstream aus dem Javascript-Code auf der offiziellen Dell-Seite extrahieren.

Der Port für die Dell Foundation Services ist weiterhin auch nach außen offen. Damit können betroffene Rechner auch übers Internet gefunden werden, worauf John Matherly, der Betreiber der Suchmaschine Shodan, hinweist.

Die Funktion dient offenbar dazu, dass Dell-Service-Mitarbeiter schnell das PC-Modell eines Kunden herausfinden können. Doch diese Implementierung sorgt dafür, dass jede beliebige Webseite diesen Service-Tag auslesen kann. Einen Proof of Concept hat Slipstream online bereitgestellt.

Der Service-Tag könnte als nahezu perfektes Tracking-Werkzeug genutzt werden, um einen bestimmten Computer eindeutig zu identifizieren. Denn ausgelesen werden kann dieser auch über Browsergrenzen hinweg und nach kompletten Neuinstallationen von Browsern oder dem ganzen Betriebssystem.
Statements von Dell verwirrend

Wir haben versucht, von Dell ein Statement zu dieser Lücke zu erhalten. In einer ersten Reaktion schrieb uns die Pressestelle von Dell: "Fakt ist, dass im Rahmen von Dell Foundation Services das Zertifikat den Service-Tag geliefert hat, damit dem Online-Support-Team von Dell das Modell des Systems und dessen spezifischen technischen Daten unmittelbar zur Verfügung stehen, um damit dem Kunden schneller und gezielter zu helfen. Persönliche und Rückschlüsse auf den Kunden zulassende Daten wurden dabei jedoch nicht erfasst."

Das klang zunächst so, als ob Dell grundsätzlich kein Problem darin sieht, dass der Service-Tag als eindeutiges Identifizierungsmerkmal auslesbar ist. Auf eine weitere Nachfragen hin teilte Dell uns mit: "Wir stellen Kunden ein Softwareupdate und manuelle Instruktionen zur Entfernung bereit. Die neue Version der Dell Foundation Services, Version 3.0, enthält das Zertifikat nicht mehr."

Dieses Statement ergibt aus mehreren Gründen keinen Sinn. Zunächst ging es überhaupt nicht mehr um das fragliche Zertifikat, sondern um die bereitgestellte JSON-API. Eine Version 3.0 der Dell Foundation Services ist zumindest auf der Dell-Webseite nicht zu finden. Dort ist als aktuelle Version 2.1.125.0, A00 aufgelistet, die offenbar am Freitag veröffentlicht wurde. Laut dem Advisory von LizardHQ sind alle Versionen bis 2.3.3800.0A00 betroffen. Scheinbar werden die Versionsnummern von Dell nicht inkrementell vergeben, was zu einiger zusätzlicher Verwirrung führt. Informationen darüber, welche Änderungen in welchen Versionen der Dell Foundation Services vorgenommen wurden, findet man auf der Dell-Webseite nicht.

Das Advisory von LizardHQ empfiehlt, die Dell Foundation Services zu entfernen. Sie könnten keine andere Empfehlung geben, um dieses Problem zu beheben. Angesichts der sehr verwirrenden Informationen von Dell ist das wohl eine sinnvolle Empfehlung.
Microsoft entfernt Zertifikate

Neben der vollständigen Entfernung der Dell Foundation Services sollten Nutzer nach wie vor auf jeden Fall prüfen, ob die von Dell installierten Root-Zertifikate entfernt wurden. Inzwischen hat auch Microsoft auf den Vorfall reagiert: Die Tools Windows Defender und Windows Safety Scanner erkennen und entfernen die fraglichen Zertifikate.