那些還記得醜聞的人聯想超級魚等戴爾根深知這一點:電腦製造商預先安裝的軟體並不一定萬無一失。在這兩個標誌性案例中,研究人員發現了允許攔截攻擊的偽造安全證書。
但事實上,這只是冰山一角。該公司的另外三名研究人員雙人實驗室剛剛查看了供應商的更新工具。他們有令人放心的名字,如“戴爾更新”、“宏碁關懷中心”或“聯想解決方案中心”。它們特別重要,因為它們允許下載和執行程式。
研究人員分析了五個品牌的大約十台電腦:戴爾、惠普、華碩、宏碁和聯想。結果令人痛心。他們發現了十幾個漏洞,每個製造商都至少有一個漏洞,允許使用中間人攻擊遠端執行任意程式碼。只要駭客設法與您進入同一網絡,您就完蛋了。在某些情況下,攻擊甚至相當微不足道。
所有這些缺陷都與實施的更新過程中的不良做法有關。這總是分兩步驟完成:傳輸「清單」檔案(向電腦指示要下載的檔案)以及下載更新本身。為了安全地執行此操作,必須對交換進行加密 (TLS),並且必須對清單和更新進行簽署。然而,在遇到的八個更新軟體中,只有一個應用了所有這些安全措施:Lenovo Solution Center。不幸的是,中國品牌還有另一個未實現安全性的更新軟體(Lenovo UpdateAgent)。華碩和宏碁也是如此。
當清單未簽署或加密傳輸時,駭客可以輕鬆地即時修改它並插入軟體進行下載。當更新也是如此時,它是開放的:他可以在機器上安裝他想要的任何東西。僅僅確保更新(如惠普的情況)是不夠的。當然,駭客只能安裝惠普簽署的軟體,但其中一些軟體允許執行任意程式碼。在戴爾,如果我們忽略偽造的 eDellRoot 憑證的嚴重性,那麼該過程的安全性相對較好。
其中一些缺陷已被修復,特別是戴爾、惠普和聯想,自報告發布以來,建議直接卸載某些軟體,例如 Lenovo Accelerator Application。另一方面,華碩和宏碁則處於無線電靜默狀態。
來源:
