那些还记得丑闻的人联想超级鱼等戴尔根深知这一点:计算机制造商预装的软件并不一定万无一失。在这两个标志性案例中,研究人员发现了允许拦截攻击的伪造安全证书。
但事实上,这只是冰山一角。该公司的另外三名研究人员双人实验室刚刚查看了供应商的更新工具。他们有令人放心的名字,如“戴尔更新”、“宏碁关怀中心”或“联想解决方案中心”。它们特别重要,因为它们允许下载和运行程序。
研究人员分析了五个品牌的大约十台电脑:戴尔、惠普、华硕、宏碁和联想。结果令人痛心。他们发现了十几个漏洞,每个制造商都至少有一个漏洞,允许使用中间人攻击远程执行任意代码。只要黑客设法与您进入同一网络,您就完蛋了。在某些情况下,攻击甚至相当微不足道。
所有这些缺陷都与实施的更新过程中的不良做法有关。这始终分两步完成:传输“清单”文件(向计算机指示要下载的文件)以及下载更新本身。为了安全地执行此操作,必须对交换进行加密 (TLS),并且必须对清单和更新进行签名。然而,在遇到的八个更新软件中,只有一个应用了所有这些安全措施:Lenovo Solution Center。不幸的是,中国品牌还有另一种未实现安全性的更新软件(Lenovo UpdateAgent)。华硕和宏碁也是如此。
当清单未签名或加密传输时,黑客可以轻松地即时修改它并插入软件进行下载。当更新也是如此时,它是开放的:他可以在机器上安装他想要的任何东西。仅仅确保更新(如惠普的情况)是不够的。当然,黑客只能安装惠普签名的软件,但其中一些软件允许执行任意代码。在戴尔,如果我们忽略伪造的 eDellRoot 证书的严重性,那么该过程的安全性相对较好。
其中一些缺陷已被修复,特别是戴尔、惠普和联想,自报告发布以来,建议直接卸载某些软件,例如 Lenovo Accelerator Application。另一方面,华硕和宏碁则处于无线电静默状态。
来源:
