Μια έκθεση 36 σελίδων που δημοσιεύτηκε από την Duo Security αποκαλύπτει την θλιβερή κατάσταση με τα bloatware που χρησιμοποιούν οι OEMs στα laptopκαι όχι μόνο. Με τον όρο bloatware περιγράφουμε τα ενοχλητικά προγράμματα που έρχονται συνήθως σαν updaters οδηγών (drivers). Τις περισσότερες φορές αναφέρονται και ως crapware, και έρχονται ενσωματωμένα με το νέο σας laptop εγκατεστημένα από την ίδια την εταιρεία.
Η ομάδα ερευνητών της Duo Security πραγματοποίησε ελέγχους στο ενσωματωμένο λογισμικό που έρχεται σαν updater οδηγών σε φορητούς υπολογιστές της Acer, Asus, Dell, Hewlett-Packard (HP), και Lenovo.
Τα αποτελέσματα της ανάλυσής τους ήταν πολύ ανησυχητικά.
Η ομάδα ερευνητών της Duo Security ανακάλυψε είναι ότι πολλοί κατασκευαστές laptop και notebook (OEMs ή Original Equipment Manufacturers) χρησιμοποιούν εφαρμογές με πάρα πολλά προβλήματα ασφαλείας που μερικές φορές αφήνουν στον εισβολέα πλήρη δικαιώματα στις συσκευές.
“Τα σπάσαμε όλα και μερικά ήταν χειρότερα από τα άλλα. Κάθε εταιρεία είχε τουλάχιστον ένα θέμα ευπάθειας που θα μπορούσε να επιτρέψει επιθέσεις man-in-the-middle (MITM) και εκτέλεση αυθαίρετου κώδικα στο σύστημα.”
Η ομάδα της Duo αναφέρει ότι το λογισμικό ενημέρωσης οδηγών που υπάρχει σε κάθε φορητό υπολογιστή περιλαμβάνει τουλάχιστον ένα ελάττωμα ασφαλείας που επιτρέπει στον εισβολέα να εκτελέσει κώδικα στον φορητό υπολογιστή του χρήστη και να καταλάβει τη συσκευή.
Ακόμα χειρότερα, η Duo αναφέρει ότι πολύ λίγες εταιρείες γνωρίζουν πώς να εφαρμόσουν σωστά την κρυπτογράφηση TLS, γεγονός που εξηγεί γιατί κατά καιρούς έχουμε δει φαινόμενα όπως το Superfish και το eDellRoot.
Επιπλέον, η Duo αποκαλύπτει, ότι πολύ λίγες εταιρείες γνωρίζουν πώς να επικυρώνουν και να επαληθεύουν την ακεραιότητα των ενημερώσεων που κατεβαίνουν από τα προγράμματα ενημέρωσης οδηγών που χρησιμοποιούν, αφήνοντας τους χρήστες που εκτεθειμένους σε λήψη ψεύτικων (κακόβουλων) οδηγών.
Αν ρίξετε μια ματιά στον παρακάτω πίνακα, θα δείτε ότι το εργαλείο ενημέρωσης οδηγών του Lenovo Solution Center έχει θετικά αποτελέσματα στις δοκιμές της Duo.
Το εργαλείο μπορεί να είναι ασφαλές τώρα, αλλά δεν ήταν πριν.
Τους τελευταίους μήνες, οι ερευνητές ασφαλείας βομβάρδισαν τη Lenovo με καταγγελίες και αναφορές σφαλμάτων. Τελικά βοήθησαν την εταιρεία να εφαρμόσει την καλύτερη ασφάλεια στην εφαρμογή της, η οποία μόλις στην αρχή του μήνα έλαβε μια ενημέρωση για να διορθώσει κάποια από τα αναφερόμενα ζητήματα.
Out-of-Box Exploitation: A Security Analysis of OEM Updaters