ثغرة أمنية بحواسيب ديل المحمولة
وكانت حواسيب ديل التي أنتجت حديثا شحنت مع شهادة أمان معيبة تسهل على المتسللين تنفيذ هجوم إلكتروني من نوع "رجل في المنتصف" يتيح سرقة المعلومات الشخصية، حتى عبر الاتصالات المشفرة.
وقالت ديل إن "الوضع الأخير مرتبط بشهادة دعم إلكترونية تهدف إلى تقديم خدمة دعم أسهل وأسرع وأفضل للمستهلك"، وأضافت أن هذه الشهادة "تسببت للأسف في ثغرة أمنية غير مقصودة".
وحملت الشهادة المعيبة اسم "إي ديل رووت" وكانت موقَّعة ذاتيا (بمعنى أنه لا يتحقق من أمنها غير نفسها)، الأمر الذي يتيح لقراصنة الإنترنت استخراج المفتاح الخاص واستخدامه لصياغة شهادات أمنية لمواقع إلكترونية أخرى يمكن أن تُقبل بعد ذلك من قبل أجهزة ديل.
ونتيجة لذلك، يمكن لمهاجم -على سبيل المثال- الجلوس في مقهى مع خدمة واي فاي عامة واعتراض أي تفاصيل لتسجيل الدخول مرسلة من أحد حواسيب ديل المتضررة، أو التنكر بشكل موقع للخدمات المصرفية عبر الإنترنت من أجل انتزاع مزيد من المعلومات.
وتُذِّكر هذه الثغرة الأمنية بقرار شركة الحواسيب الشخصية الصينية لينوفو شحن أجهزة مصابة ببرمجية "آدوير" الإعلانية الخبيثة التي عرفت باسم "سوبرفيش"، كما ثبتت أيضا شهادة موقعة ذاتيا على أجهزة الحاسوب.
وخلافًا للينوفو، اعتذرت ديل بسرعة بعد اكتشاف شهادة "إي ديل رووت" من قبل عملاء وباحثين.
وفي منشور على موقع ديل الإلكتروني، قالت متحدثة باسم الشركة إن الشهادة الأمنية جاءت كجزء من أداة دعم تهدف لتسريع وتسهيل مهمة إدارة الأنظمة الخاصة بعملائها، وأكدت أن الشركة "تأسف" لحدوث هذا الأمر وأنها تتخذ ما يلزم لمعالجته.
وامتنعت ديل عن الإفصاح عن عدد الحواسيب أو الطرازات التي تأثرت بالثغرة الأمنية. ولكن بدأ تثبيت البرمجية على الحواسيب المحمولة في أغسطس/آب الماضي، وفقا للمتحدثة باسم الشركة.
واعتبارا من أمس الثلاثاء، أطلقت الشركة تحديثا برمجيا لإزالة الشهادة الأمنية المعيبة من الأجهزة، كما نشرت تعليمات تساعد المستخدمين الراغبين في إزالة الشهادة يدويا.