Poche ore dopo la scoperta di un certificato facilmente clonabile, una seconda vulnerabilità è stata individuata su alcuni computer della serie Inspiron e XPS. Anche questa volta si tratta di un certificato self-signed, installato da un’altra applicazione. Il produttore statunitense non ha fornito un tool per la rimozione, quindi l’operazione deve essere eseguita manualmente.
Il certificato DSDTestProvider viene installato dall’applicazione Dell System Detect (DSD) che viene usata per individuare il modello del computer, quando l’utente visita il sito web di supporto tecnico e preme il pulsante “Detect Product”. Come eDellRoot, anche DSDTestProvider viene copiato nel Windows root store per le authority di certificazione, insieme alla chiave crittografica privata. La chiave può essere facilmente estratta e usata per generare falsi certificati. Se l’utente visita i siti HTTPS infetti non vedrà nessuna avviso di sicurezza. Un malintenzionato potrebbe però intercettare il traffico e compiere diverse azioni, come il furto di dati sensibili (password e numero della carta di credito) e l’installazione di malware.
Dell non ha rilasciato nessun comunicato in merito alla nuova vulnerabilità, né le istruzioni per la rimozione del certificato che, tra l’altro, rimane sul computer anche se l’utente disinstalla il tool Dell System Detect. È quindi necessario eseguire il comando certmgr.msc
, cercare e cancellare il certificato incriminato nella sezione “Autorità di certificazione radice attendibili”.
Dato che non tutti gli utenti hanno le competenze per eseguire queste operazioni, il produttore statunitense dovrebbe immediatamente revocate tutti i certificati pericolosi per evitare un nuovo scandalo Superfish.