新闻链接：3b9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8U0R3$3z5e0f1K6i4K6u0W2K9s2c8E0L8l9`.`.
 新闻时间：2015.11.25
 新闻正文： 

11月22日，戴尔多个机型的机器被爆出预装了一个被称为eDellRoot的根证书后门，证书还夹带了对应的私钥，证书被除了火狐外的大部分浏览器接受。形象地说，这意味着戴尔在电脑上开了个后门，后门上还插着把钥匙。

此漏洞可导致中间人攻击，且已发现利用此漏洞制作的病毒，这对被安装了后门的用户是个严重的安全威胁。另外，戴尔的不少机器上还被研究者发现安装了与eDellRoot类似的、被称为DSDTestProvider的另一种根证书后门。

一个后门引发的漏洞

事情是这样的：上周末，一位叫Kevin的歪果仁在社交新闻网站Reddit的论坛上发了个帖子，说自己买的戴尔的XPS 15系列电脑上，有个莫名奇妙的证书，奇怪的是证书居然还携带了对应的私钥。Kevin写道：

戴尔肯定知道，联想之前被发现在用户电脑上安装广告程序Superfish后所造成的巨大负面影响。但是，戴尔还是决定效仿联想，甚至有过之而无不及：这个证书甚至都不是被第三方安装的，而是戴尔自己。雪上加霜地是，至少我们知道联想的流氓证书后门Superfish是为了在用户的网页上嵌入广告，而我们不知道戴尔为什么要把这个根证书安装到自己用户的电脑上。
一位叫Nord的工程师，也在22号在个人网站上发文，说自己发现了新买的灵越5000笔记本存在同样的问题：“这个证书对应的私钥被设置为不可导出，但却可以通过工具来获取。”

德国一位名叫Hanno Bock的安全研究者也发现了这个漏洞：“每个攻击者都可以使用这个根证书来生成对任意网站都有效的证书。甚至HTTP公钥固定协议（HPKP）都无法防止这种攻击，因为浏览器提供商允许本地安装的证书跳过公钥固定保护。”

这个证书从8月开始被安装到戴尔的电脑上，证书包含了PC型号、驱动和操作系统等信息。这个漏洞意味着，黑客实际上可以伪装成证书颁发机构，随意生成用于中间人攻击的有效证书，或把用户引导到钓鱼网站，而这些钓鱼网站并不会像一般的非法网站一样被标示出来。

23号，戴尔对这个漏洞发表了声明，说明这个证书是为了为用户提供更好的在线支持，但由此导致了意想不到的安全漏洞。戴尔为用户提供了卸载这个证书的方法。戴尔还表示，用户自己重装的系统不受此漏洞影响。戴尔在一段声明中说：

戴尔不会在用户电脑上安装任何广告程序或恶意程序，一旦按照戴尔提供的方法卸载，证书不会再自动安装到用户电脑上。
到目前为止，已经被发现存在 eDellRoot的根证书后门的机型有：戴尔 XPS 15笔记本、M4800工作站主机、灵越台式机和笔记本。

如何确定是否存在后门

如何确定自己的戴尔电脑上有没有这个eDellRoot后门呢？（DSDTestProvider查找方法同eDellRoot），目前搜集到了两个有效的方法：

一、安全宝自动检测： 

40fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4#2j5$3E0&6i4K6u0W2j5h3&6I4N6h3q4F1j5X3q4G2i4K6u0W2j5$3!0E0i4K6u0r3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1#2i4K6R3#2i4@1p5#2i4@1f1$3i4@1p5K6i4K6R3H3i4@1f1$3i4@1t1#2i4K6S2n7i4@1f1&6i4@1p5I4i4@1t1#2i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1#2i4K6S2p5i4@1t1K6i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1^5i4K6R3%4i4@1q4m8i4@1f1#2i4K6S2m8i4@1p5^5i4@1f1$3i4@1p5K6i4K6R3H3i4@1f1$3i4@1t1#2i4K6S2n7i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4K6V1H3i4@1p5$3i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1#2i4K6W2o6i4@1p5^5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6V1%4i4@1p5^5i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1$3i4K6W2q4i4K6W2o6i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1#2i4K6W2o6i4@1p5^5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6V1%4i4@1p5^5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6S2o6i4K6R3&6i4@1f1%4i4K6R3#2i4@1p5%4i4@1f1&6i4@1p5I4i4@1t1#2i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1%4i4@1u0n7i4K6V1&6i4@1f1#2i4K6R3%4i4@1u0m8i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1$3i4@1p5I4i4@1p5K6i4@1f1#2i4K6R3^5i4@1p5H3i4@1f1&6i4K6V1&6i4@1p5@1i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6V1%4i4@1p5^5i4@1f1$3i4K6R3^5i4K6V1$3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1$3i4K6V1$3i4@1t1H3i4@1f1#2i4@1q4q4i4K6V1^5i4@1f1$3i4K6V1$3i4@1t1&6i4@1f1^5i4@1p5I4i4@1p5#2i4@1f1@1i4@1t1^5i4K6R3I4i4@1f1#2i4K6S2p5i4@1t1K6i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1K6i4K6R3H3i4K6R3J5

二、手动检测：

打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构，查看有没有名为eDellRoot的证书，如果有，那电脑上就存在这个后门。查找DSDTestProvider方法一样，只是有可能在证书管理器里所在的位置和eDellRoot不一样。

如何删除eDellRoot后门

戴尔官方发布了一份手册，向用户说明了删除后门的方法（DSDTestProvider删除方法和eDellRoot类似），整理如下：

一、自动删除：

下载戴尔官方补丁，点击执行即可：

e88K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1k6h3I4D9N6i4m8V1j5i4c8W2M7W2)9J5k6h3c8W2L8r3I4Q4x3X3g2U0L8$3#2Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6m8f1q4l9H3x3o6W2Q4x3V1k6W2c8r3g2D9L8q4u0G2L8%4c8o6k6i4u0@1c8X3W2^5i4K6u0W2k6i4S2W2

二、手动删除

见后门检测页面：745K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4#2j5$3E0&6i4K6u0W2j5h3&6I4N6h3q4F1j5X3q4G2i4K6u0W2j5$3!0E0i4K6u0r3i4@1f1K6i4K6R3H3i4K6R3J5

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课