Después del escándalo de Lenovo y Superfish, Dell ha creado su propia versión del monstruo llamada eDellRoot. ¿Preinstalar adware en los PCs es una moda?.
Dell se ha convertido en la nueva Lenovo. O eso o, al menos, están copiando sus malas prácticas para con los usuarios. En el caso de Lenovo era un bloatware conocido como Superfish el que venía preinstalado en sus equipos, y parece que Dell está haciendo lo mismo con este rogue bloatware.
Llega un momento en el que el asunto del bloatware a los fabricantes se les empieza a ir de las manos, y este muy bien podría ser el caso. Es una traición a la confianza del usuario el preinstalaradware en un ordenador nuevo, y lo cierto es que tanto Dell como Lenovo van a pagar —o ya están pagando en el caso de Lenovo— a nivel de ventas este asunto.
Lenovo y Superfish, más publicidad y más dinero
La historia de Lenovo y Superfish viene de muy antiguo. Ya de por sí nunca ha existido una gran confianza en los productos informáticos chinos, y este asunto de Superfish terminó de dinamitar la confianza entre oriente y los usuarios occidentales.
Lenovo fue la primera tecnológica a la que se le descubrieron estas prácticas / Motohiko Tokuriki editada con licenciaCC 2.0
Superfish se encontraba preinstalado de serie en muchos ordenadores y empezaba a funcionar en cuanto el usuario hacía uso de su máquina. Este malware funcionaba inyectando publicidad en los navegadores de los usuarios y ejecutando un ataque man-in-the-middle, otorgándose a sí mismo permisos de superusuario para instalar un proxy capaz de producir certificados SSL “trucados” cada vez que se necesite una conexión segura.
Estos certificados trucados son necesarios para que se pueda mostrar publicidad al usuarioincluso en conexiones seguras, y Lenovo lleva retirando Superfish de sus productos desde el pasado mes de enero del presente año. Eso, sin embargo, no quita para que la confianza de los usuarios en la marca resultase muy dañada.
Dell y eDellRoot, el último escándalo
Volvamos a la actualidad y a Dell. El fabricante estadounidense ha sido cazado introduciendo unrogue bloatware similar a Superfish en sus preinstalaciones de Windows. La alarma ha saltado en Twitter, donde un usuario llamado Joe Nord ha descubierto esto:
Este malware se instala concediéndose a sí mismo permisos de administrador, y ha sido descrito con más profundidad por Nord en su blog, donde comenta que se puede parecer mucho a Superfish y donde ha escrito lo siguiente:
El certificado de eDellRoot expira en 2039 y se usa para todos los propósitos. Esto es mucho más poderoso que cualquier certificado legítimo DigiCert, lo que aún me genera más curiosidad.
eDellRoot podría ser spyware
El problema con los permisos que se concede eDellRoot es no saber qué actividades de espionaje puede hacer, al contrario que el caso de Superfish, que “sólo” se dedicaba a inyectaradware en los ordenadores de los usuarios sin su consentimiento expreso.
Nord siguió estudiando el certificado de seguridad, que decía que el usuario tiene una clave privada que se corresponde con la de eDellRoot. Llama la atención que el usuario sea el que tenga esta clave privada según Windows, ya que debería estar mucho mejor protegida y el usuario no tendría que tener acceso a ella. Lenovo cometió la audacia de usar la misma clave privada en todos los ordenadores infectados con Superfish, y Nord no podía evitar preguntarse si Dell habrá hecho lo mismo.
¿Es eDellRoot legítimo?
Es imposible determinar si el CA de eDellRoot viene de la propia empresa. Todos los certificados con permisos de administrador están siempre autofirmados, con lo que eDellRoot básicamente dice que eDellRoot es un CA legítimo. Sin embargo, que una clave privada pueda tener acceso a un ordenador es malo.
El asunto de eDellRoot también ha generado un considerable revuelo en Reddit, donde un usuario conocido como Rotorcowboy ha montado un revuelo considerable al, prácticamente, confirmar las sospechas de Joe Nord: según este usuario, Dell ha usado la misma clave en todos los ordenadores. El propio Rotorcowboy ha intentado contactar con Dell por Twitter con este resultado:
¿Cómo saber si mi Dell está infectado?
De momento Dell no se ha pronunciado sobre el tema. Por ahora, si tienes un ordenador Dell te aconsejamos que hagas lo siguiente para saber si tu ordenador está infectado: ve a Inicio, teclea certmgr.msc, acepta el control de cuentas de usuario que saldrá, ve a Entidades de certificación raíz de confianza, entra en la carpeta Certificados y busca una entrada que se llameeDellRoot. Si la tienes, la empresa a la que le has comprado el PC te acaba de gastar una broma de mal gusto.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
