Windows PC的厂商挂出的客户与有缺陷的crapware更新程序
著名的Windows PC厂商,包括宏碁,惠普和联想等已在他们与从被网络罪犯攻击的危险留给客户的笔记本电脑捆绑的软件更新程序“令人震惊的”疏漏,一家安全公司争辩。
“这是2016年,”史蒂夫Manzuik,在双核保安安全研究主任说,在接受采访时。 “[这些更新程序显示]缺乏,应该使用基本的安全措施。”
上周发表了一份报告,详细说明windows10笔记本电脑从五个OEM(原始设备制造商)的考试 - 宏碁,华硕,戴尔,惠普和联想 - 即专注于软件更新工具供应商在他们的机器预载。
这些更新程序是用来保持与新PC的最新捆绑专有和第三方软件。原始设备制造商依靠更新程序来刷新设备驱动程序和自己的支持工具,以及在内部和第三方应用程序在新系统上预装。后者是由嘲弄的标签,包括“英国媒体报道”和摆知“crapware”,因为他们往往是原始设备制造商支付给收拾驱动器上的低价值应用。
更新程序来绘背着一个大牛眼,铎说。 “那下载和执行任意的二进制文件的任何软件是一个诱人的目标攻击,”该公司在其报告中写道。 “瞄准的线路上的可执行文件的传输是一个没有脑子。”
根据定义,更新程序下载的二进制文件,然后执行。如果罪犯截获PC和服务器之间的更新的交通 - 最有可能在一个典型的“人在这方面的中间人”进行的,也就是说,在一个不安全的Wi-Fi网络像在咖啡店和机场的攻击 - 他们可以扭曲代码具有更新安装和运行恶意软件。
这就是为什么顶级的软件更新程序,像微软和苹果公司工作,积极争取的过程。该锁向下的最重要的组成部分,说铎:加密使用TLS(传输层安全)协议的后继者SSL(安全套接字层)设备到服务器和回流量;和数字签名每次更新的“明显”,或文件的列表,以便它不能被改变。
太糟糕没有人告诉贴牌更新程序“的程序员。
在五大厂商中,只有戴尔和联想传送的更新清单在使用TLS加密通道;其余暴露的新软件包和软件更新列表被黑客拦截。和五,只有联想的 - 然后只在其上使用两个更新程序之一 - 数字签名的清单,以防止未经授权的修改。 (令人困惑的是,联想和戴尔用在他们的行不同的笔记本电脑,更多的工作马虎的证据不同的更新。)
“这是这两个东西的组合,”Manzuik说,指的加密和签名省略。
但缺乏明显的签署是关键,根据达伦•坎普,二重奏安全研究员。 “清单驱动的更新,”坎普说。 “[只有一个]签署的。如果原始设备制造商已经实现了这个正确的,它会停下几乎每一次进攻。”严重违规“真的是两个字来形容[原始设备制造商的失败。]”
二人发现的安全漏洞在里面看了看更新程序中的每一个,并与缺乏加密和清单签名,判断利用这些漏洞的小事,或在文字由坎普写的配套博客文章中使用的公司,“水平利用大多数我们发现的漏洞所需的复杂的是地方,通过在双核午餐室地板上,你的平均盆花咖啡渍拥有的。“
Manzuik的和坎普的最佳新crapware出没的电脑购买者的建议是立即擦除设备的驱动器并重新安装Windows的原始副本。虽然这是企业标准的做法 - 这安装公司认可的形象 - 很多消费者和小企业发现很难。代替全新安装的,朵建议用户卸载不必要的软件,包括更新程序。
微软宣称电脑的签名线 - 代工笔记本电脑和一些没有或很少英国媒体报道台式机 - 作为一种绕过这个问题。但检查三个签名品牌的笔记本电脑,分别来自华硕,戴尔和惠普,朵发现,所有仍然包含有缺陷的更新程序。
苏公网安备32032202000432