«ديل» تقرّ بوجود ثغرة أمنية في بعض حواسيبها المحمولة

أفادت شركة «ديل» بأن بعض حواسيبها الشخصية المحمولة التي شحنتها، في الآونة الأخيرة، تعاني وجود ثغرة أمنية يمكن أن تسهل على المتسللين الوصول إلى البيانات الخاصة بالمستخدمين.

وأقرت شركة صناعة الحاسبات الشخصية الأميركية، بأنها شحنت حواسيب محمولة مع أداة دعم غير آمنة بطبيعتها، وقدمت اعتذاراً لذلك، ووفرت للمستخدمين أداة إزالة لإصلاح الأجهزة المتضررة.

وكانت حواسيب «ديل» التي أُنتجت حديثاً، شحنت مع شهادة أمان تسهل على المتسللين تنفيذ هجوم إلكتروني من نوع «رجل في المنتصف» يتيح سرقة المعلومات الشخصية، حتى عبر الاتصالات المشفرة.

ومع أن شهادات الأمان المعيبة لم تكن مصادفة، قررت «ديل» وضع بيانات التفويض، التي حملت اسم «إي ديل رووت» eDellRoot كصفة مصدر لها، على الأجهزة كجزء من أداة دعم. ولما كانت شهادات الأمان كلها متطابقة و«مُوقَّعة ذاتياً» (بمعنى أنه لا يتحقق من أمنها غير نفسها)، فيمكن لمهاجم استخراج المفتاح الخاص واستخدامه لصياغة شهادات أمنية لمواقع إلكترونية أخرى، وهو ما سيُقبل بعد ذلك من قبل أجهزة «ديل».

ونتيجة لذلك، يمكن لمهاجم، على سبيل المثال، الجلوس في مقهى مع خدمة «واي فاي» عامة، واعتراض أي تفاصيل لتسجيل الدخول مرسلة من أحد حواسيب «ديل» المتضررة، أو التنكر بشكل موقع للخدمات المصرفية عبر الإنترنت من أجل انتزاع مزيد من المعلومات. وتُذكّر هذه الثغرة بقرار شركة «لينوفو» شحن أجهزة مصابة ببرمجية إعلانية خبيثة «أدوير» Adware عُرفت باسم «سوبر فيش» Superfix، وقامت بتثبيت شهادة موقعة ذاتياً على أجهزة الحاسوب.