Under måndagen uppmärksammades Dell på att ett förinstallerat certifikat på företagets bärbara datorer utgjorde ett hot mot användarnas krypterade data.

De första rapporterna om säkerhetshålet dök upp på Reddit under måndagskvällen, svensk tid. En användare som nyligen fått hem en ny laptop upptäckte att nycklarna som egentligen inte skulle gå att exportera mycket väl gick att komma åt med rätt verktyg.

Dell
Dell XPS är en av de modeller som har drabbats av säkerhetshålet.

”Vi kom fram till att varje laptop de skickat ut levererades med exakt samma rotcertifikat och privata nycklar, väldigt likt det Superfish gjorde på Lenovos datorer”, skriver personen i sitt inlägg.

Läs också: Så blev de av med Superfish

Felet ligger i ett rotcertifikat som kallas eDellRoot. Säkerhetshålet har gjort det möjligt för angripare att spionera på användarnas krypterade trafik, skriver IDG News. Och konsekvenserna kan bli allvarliga. Angripare skulle kunna använda de privata nycklarna för att skapa sina egna digitala certifikat, som i sin tur kan användas för att få fejkade sidor att framstå som legitima.

Säkerhetsexperter har beskrivit felet som mycket allvarligt, så pass att man borde släppa allt annat för att snabbt åtgärda det. Det hela liknar det spionprogram som tidigare installerades i Lenovos datorer, Superfish. Det orsakade en hel del rabalder när det kom fram att programvaran kapade krypterad trafik. Denna gång ska det dock inte handla om något medvetet fel.

Dell själva skriver i ett uttalande att certifikatet var tänkt att ge bättre kundsupport, genom att snabbare identifiera datormodellen, operativsystem och hårddiskar. Men något gick fel och oavsiktligt gjordes datorer sårbara. Dell har lagt ut instruktioner på hur användarna kan ta bort sårbarheten och påpekar att de inte kommer lägga till certifikatet på nya enheter framöver.

Läs också: Karlstadbo avslöjade Lenovos allvarliga säkerhetshål

Men en olycka kommer sällan ensam. När ett säkerhetsföretag på uppdrag av Dell sökte genom internet efter sajter som använde eDellRoot hittade de visserligen inte några sådana fejkade sidor. Men de fångade upp 24 ip-adresser som självsignerade certifikat med ett annat digitalt fingeravtryck, som också kallas eDellRoot. Vilket tyder på att Dell kan ha skickat ut andra enheter med identiska krypteringsnycklar, skriver IDG News.

Hur många som kan ha drabbats av säkerhetshålet är svårt att säga. Men de modeller som dykt upp i rapporterna är Dells XPS, Inspiron, Vostro och Precision. Samt de stationära modellerna Optiplex och Precision Tower. Här finns instruktioner på hur man tar bort certifikatet och hindrar det från att installeras igen.