原标题:PC预载更新软体潜藏危机,五大品牌PC都可能遭中间人攻击
示意图,非特定厂商。
安全研究公司Duo Security发布安全研究报告,市售PC预载更新软体可能没有适当的安全机制而使用户遭致骇客或恶意软体入侵的风险,而且点名Dell、HP、Asus、宏碁、联想等知名品牌都可能遭到中间人攻击(man-in-the-middle, MITM)的风险。
Duo Security这份名为《开盒攻击:OEM更新软体的安全分析》的报告指出,市售电脑预载的各种软体,大部份都没什幺用,可称为肿胀软体(bloatware),或称垃圾软体(crapware)或骗人软体(shovelware),因为他们会佔用记忆体空间、拖慢系统速度。但这类软体最可怕的是会侵犯用户隐私并带来安全风险,像是联想电脑的Superfish及Dell的eDellRoot。
在本项报告中,研究人员针对主要品牌(OEM)包括Dell、HP、联想、以及华硕、宏碁的PC预载更新软体。发现每家OEM都有一个或一个以上的预装软体,连最乾净的微软认证电脑系列(Signature Edition)都有OEM更新工具,成为比其他OEM软体更大的发布通路,然而却也带来广大风险。
报告指出,这些更新软体有各种不同目的和实作方式,安全程度高下不一。研究人员针对在TLS上传送、更新的manifest、manifest签章、以及验证码检验等4个面向来评估这些受测电脑的软体安全性(如下图)。结果显示,有的厂商连简单的TLS来验证更新软体完整性或更新manifest内容的真实性都没做到。
?
研究人员发现,联想的Solution Center 3.1.001四项具备,同时点名宏碁、华硕电脑,以及联想的UpdateAgent 1.0.0.4四个面向表现皆墨。安全人员最后辨识出12项漏洞并通报厂商,HP、联想、宏碁Acer Care Center Live Update 10及华硕Asus Live Update系统至少都发现一只高风险漏洞。另外,Dell的eDellRoot仍欠缺凭证安全验证。这意谓四家厂商电脑都可能招致中间人攻击,以系统管理员权限执行任意程式码。
其次,这些OEM软体和其他工具相关联,攻击面广,使骇客可以轻易透过其他工具入侵专属于更新软体的瑕疵。
安全人员表示,攻击这些软体的难度有如「如擦拭茶水间或植物花盆上的咖啡渍」一样简单,有的OEM产品不到10分钟就被攻陷。
Duo Security指出,有的厂商如联想及HP在安全通报机制上执行较彻底,然而有的厂商则是在通报三个月后仍然未修补漏洞。
四家厂商都未对此做出回应或评论。
研究人员建议PC用户最好移除系统上的第三方肿胀软体,因为消费者经常买了电脑后带进公司并接上公司网路,而IT管理员也应该将此纳入管理规範。此外,消费者也必须使用安全的密码、双因素验证及开启加密防护。
?
延伸阅读:
联想笔电预载Superfish恶意广告程式:会乱插广告,绑架合法连线
eDellRoot被爆高风险安全问题!赶快用这个网站检查自己的电脑
相关:
此页面是否是列表页或首页?未找到合适正文内容。
备转容量率创10年新低,用电大户忧心忡忡。科技部旗下的科学园区厂商最怕“无预警”停限电,并希望能将规模及顺序往后排,万不得则祭出三项因应措施。连续高温全台闷热,从月初以来,台电备转容量率已连亮数颗“限电
图片来源: 维基百科,作者:Hamed Saber 路透社于本周报导,伊朗的网路空间最高委员会(Supreme Council of Cyberspace)周日(5/29)要求国外的通讯程式应把当地用户的个人资料转移到伊朗境内的伺服器,且限期一年内
图片来源: FBI 36岁的安全研究人员Justin Shafer上周二(5/24)凌晨在家中遭到十多名FBI探员突袭,起因为他揭露了一款牙医诊所管理软体的储存安全漏洞,被控违反美国的电脑诈欺与滥用法令(Computer Fraud and Abuse
记者赵晓慧/台北报道气温不断飙高,外界忧心今夏有跳电危机,经济部长李世光今日表示,确实有供电吃紧的情况,已启动汽电共生采购的紧急规格及需量反应,全力以赴监控跳电危机。他再度强调,基本民生电价不会调涨。