En studie av Duo Security, Inc tyder på att OEM Updaters, program som utformats av PC-tillverkare för att uppdatera tillverkarspecifika programvaran, göra mer skada än nytta eftersom de sätter Datorer på risk.
Förkompilerade stationära datorer, bärbara datorer och tabletter levereras med en uppsättning extra applikationer och program som mer ofta än inte. Vanligen kallat crapware, dessa program lägger till lite värde till systemet och ofta består av testversioner, genvägar och program skapade av tillverkaren av enheten.
Tillverkar lägga till dessa i en del för att tjäna pengar men också för att driva sina program på enheterna.
Det förflutna har visat att tillsats av innehåll får inte bara vara till besvär för användarna, men också att sätta datorn i riskzonen.
Duo Säkerhet: s analys av samlad program av Oem hammare som hemma längre. Företaget slutsatsen att varje updater att det analyseras hade minst en sårbarhet som gjorde att fjärrkörning av kod för att helt kompromiss maskinen.
Företaget tittat på enheter från Acer, Asus, Dell, Hewlett-Packard och Lenovo och hittade totalt 12 sårbarheter i alla uppdatera program. Det såg främst till att man-i-mitten-attacker och avlägsen attack ytor.
via Duo.com
De frågor som är centrala fann var följande:
- Alla enheter levereras minst med ett förinstallerat updater som är sårbara för attacker.
- Dessa program har ofta misslyckats med att använda sig av TLS, uppdatera integritet valideringar, eller äkthet valideringar av uppdatering manifest innehåll.
- Vissa leverantörer att använda flera program för att uppdatera mjukvaran, med några ofta är mer säkra än andra.
- Utnyttja sårbarheter är trivialt, enligt forskarna.
Alla leverantörer, med undantag av Dell, överförs manifest-filer via HTTP. Dessutom Acer och Asus inte överföra filer via HTTPS på alla samtidigt som Dell och HP gjorde. Lenovo var det enda företaget i testet som hade ett program använda HTTPS-anslutningar till alla, och en annan som stöds HTTPS och använde det.
Att inte använda HTTPS för överföringar är dålig praxis, av uppenbara skäl. Eftersom de flesta tillverkare använder när du överför HTTP manifest-filer — används för att informera systemet om uppdateringar-det är lätt nog för en angripare att manipulera dessa filer. Detta i sin tur gör integritet kontroller värdelös eftersom det är omöjligt att verifiera integriteten för filerna eller uppdateringar om äktheten av de manifest-filen inte kan verifieras.
Full uppsats, Out-of-Box Utnyttjande av OEM-Updaters, finns här.
Begränsning av frågor
Den viktigaste frågan för användarna är att det finns lite de kan göra för att mildra de problem som finns i dessa uppdatera program för kort för att ta bort dessa (och andra säljaren komponenter) från enheten.
Här är ett par förslag:
- Skapa en fullständig säkerhetskopia av systemet.
- Avinstallera program som levereras med DATORN som har lagts till av tillverkaren av enheten om du inte vet att du behöver det.
- De flesta av tiden, de är inte nödvändiga för att kunna använda systemet. Program som Decrap eller Decrapifier kan hjälpa något, men de brukar inte ta bort leverantör av programvara.
Om du är på väg att köpa en DATOR och inte vill bygga den själv, försök att gripa tag i en Microsoft Signature Edition som skepp utan bloatware.
Avslutande Ord
Säkerhetsproblem som orsakas av tillverkare av Persondatorer, bärbara datorer och andra datorer är ett återkommande schema, och det verkar osannolikt att situationen kommer att bli bättre inom den närmaste framtiden.
Nu är Du: Är tillverkarspecifika programvaran fortfarande körs på din utrustning?