个人电脑已经成为夕阳行业,销量逐年大跌,厂商开始转型,除了销售下滑之外,PC行业出现了另外一个夕阳化中的伴生现象:安全丑闻频出,继联想集团、三星电子之后,另外一家电脑大厂戴尔,日前也爆出了一个和数字证书和私钥有关的重大人为安全漏洞,可以让黑客随意攻入电脑系统、盗取数据。
据Engadget等多家美国科技新闻网站报道,戴尔销售的部分新款电脑中,植入了戴尔公司自行签署的一个数字证书,而这一证书在出现问题的电脑中完全一样,因此如果黑客获得了一张数字证书的私钥文件(难度并不大),则可以对所有安装了这一证书的电脑发动攻击。
另据报道,在一些电脑中,戴尔也提供了和数字证书配合的私钥文件,这也是重大安全失误。
据报道,这一安全漏洞,和联想集团的“Superfish丑闻”有些类似,只不过数字证书的签署方,是电脑厂商自身。
据报道,用户已经在戴尔部分XPS、Inspiron 5000系列的电脑中发现了这份雷同的数字证书,黑客可以破解这一证书,向问题电脑上传恶意软件,盗取机密信息,或是把戴尔电脑转为一个用于网络攻击的“肉鸡电脑”。
如果消费者曾经购买了戴尔电脑,可以访问这一网址https:/bogus.lessonslearned.org,该网站将利用一个私钥文件验证电脑身份,如果出现一个宠物狗的标志,则证明用户的戴尔电脑“中招”。
美国网络安全公司Errata的首席技术官Robert Graham在一篇博文中表示,如果他是一个黑客,在知道了戴尔这一漏洞之后,他会以最快速度走到最近的一个大型机场,购买一张国际航班的头等舱机票,这些乘客买得起一万多美元的机票,他们如果携带的是戴尔电脑,一定有值得盗窃的机密数据。
上述专家表示,如果获得了戴尔数字证书的私钥文件,黑客可以对同一个Wi-Fi网络中的电脑发动“中间人攻击”。
简而言之,如果黑客获得了一个私钥文件,那么他们可以假冒其他问题戴尔电脑的身份对网络服务器、其他电脑发动攻击。
除了Wi-Fi网络之外,其他恶意的网站也可以利用私钥文件和数字证书,假冒戴尔的身份,向其他戴尔电脑上传恶意程序。
对于媒体报道,戴尔公司表示正在对这一安全问题展开调查。随后,该公司宣布,将尽快删除这一问题数字证书,戴尔也提供了相关的方法,让消费者删除数字证书文件。
行业现象
伴随着智能手机的流行,个人电脑逐步没落。权威机构的数据显示,全球电脑销量已经连续多年以一成的速度萎缩,联想、惠普等企业,要么面向企业市场转型,要么向智能手机领域求生存。
在企业内部的转型重组中,由于技术资源的调整等因素,导致个人电脑产品中出现了前所未有的大规模安全漏洞和丑闻。
2015年年初,联想集团的电脑被爆出预装了一款恶意软件Superfish,给用户信息造成极大风险,由于联想是全球最大电脑厂商,此事引发了轩然大波,并导致联想官方网站被黑客攻击。
2015年年中,另外一家电脑厂商三星电子,其产品中也出现了安全问题,三星意外禁止用户更新Windows操作系统,将导致用户无法及时修补系统漏洞,从而成为黑客下手的诱人目标。