导语:Duo Security通过对五家最受欢迎的PC制造商——惠普,戴尔,宏碁,联想和华硕——的软件更新的调查发现,所有这些品牌都存在严重的安全问题,导致电脑在软件升级过程中容易被黑客攻击。
您的计算机之所以在软件更新过程中不会被劫持,很大程度上我们要感谢像微软这类软件公司,为了保障安全性,他们在操作系统和应用程序的更新上付出了巨大的努力。
与之相对的,PC硬件制造商在对待安全性上似乎就不那么谨慎了。Duo Security通过对五家最受欢迎的PC制造商——惠普,戴尔,宏碁,联想和华硕——的软件更新的调查发现,所有这些品牌都存在严重的安全问题,导致电脑在软件升级过程中容易被黑客攻击。
Duo Labs的研究人员在针对此事件发布的一份报告中称,五家制造商都有给计算机预装更新器,但这些更新器里最少都会有一个高风险漏洞,让攻击者能够远程执行他们想要执行的任何恶意代码,甚至获得对系统的完全控制。并且,对黑客来说,想要利用这些漏洞也是很容易的。
这些制造厂商的漏洞问题多多少少是相似的,例如无法通过安全的HTTPS通道提供更新,或者不能签名/验证更新文件。这些问题都会导致更新文件在传输到电脑的过程中被劫持、替换为恶意文件,使攻击者可以进行中间人攻击。更新程序在电脑上是以最高级别的信任和特权运行的,哪怕电脑中具有其他保护措施,也都会被强制安装上恶意文件。
报告中同时提到,大多数软件的防御机制是很有效的,但制造商们使用的预装软件反而削弱了这种抵抗力,届时,所有的漏洞利用缓解措施、桌面防火墙和安全浏览增强功能都无法保护到用户。
许多制造商也没有对更新程序时从服务器下载安装的文件列表进行数字签名。如果传输过程不安全的话,攻击者很容易就能截获这份未经签名的列表,接着便可以从列表中删除重要的更新文件,防止用户获得他们需要的更新,或者将恶意文件添加到该列表中。列表里包含了一些执行更新文件所需的内联命令,攻击者可以简单通过添加内联命令的方式来安装启动恶意文件。在对惠普电脑的检查中,研究人员发现他们除了能执行安装更新的命令之外,甚至可以通过添加内联命令在系统上执行任何管理级命令,比如向系统添加新的用户帐户来持续访问系统。
Duo Security研究员Darren Kemp称,
有许多方法可以利用命令注入的bug,通过修改列表中的内联命令,你几乎可以对电脑做任何事情。
研究人员在他们的报告中指出,他们所检查的五家制造商只是一个抽样,但基于这种现状,其他品牌可能更不安全。然而,他们猜测苹果系统可能就不会遇到这样的问题,因为苹果公司在软件安全性上是出了名了严格,那些杂七杂八的第三方应用会被苹果拒之门外。
Kemp说,
这就是苹果的安全保障机制之一,你使用苹果系统,就只能用他们认证过的软件,所以这种情况下,苹果是很有优势的。
当消费者购买一台计算机时,也相当于购买了计算机上的更新服务——用于固件更新、驱动程序更新,当然也会更新到所谓的臃肿软件。臃肿软件的含义很广,从第三方软件的30天试用版,到厂商为你的电脑添加的某些特殊功能的程序,还有你上网时给你浏览器发送广告的广告软件——都属于臃肿软件的范畴。一般情况下,更新程序会在制造商指定的站点上下载更新,但有时也会在第三方软件的站点上获取更新。
研究人员在上述五家制造商中共发现了12处漏洞,每家制造商的更新程序中都至少有一个允许远程执行代码的高风险漏洞。有的制造商在机器上安装了多个更新程序,每个更新程序的安全性还不一致。
戴尔的更新程序在五家厂商中相对是最安全的,虽然戴尔也没有对更新程序列表签名,但它通过安全的HTTPS渠道发送列表和更新文件,能阻止简单的中间人攻击。戴尔更新程序还会验证更新文件是否已被签名,以及用于签名的证书是否有效。
虽然研究人员发现戴尔用于基础服务的最新版更新程序存在问题,但戴尔公司显然已经发现了这些漏洞,在研究报告发表之前就修补好了。
惠普的做法和戴尔类似。但对于一个下载程序组件,尽管惠普包含了验证文件签名的过程,却无法确保它始终都能得到验证。例如,攻击者可以将未签名的恶意文件下载到计算机中并提示用户运行该文件。由于惠普存在重定向问题,会把恶意下载连接重定向为惠普合法下载链接,这么一来攻击者便有了可乘之机。
联想的安全机制可谓是参差不齐。研究人员检查了它的两个更新程序——联想解决方案中心(Lenovo Solutions Center)和升级专家(UpdateAgent)——前者几乎可以说是检查结果中最优秀的,但后者是最糟糕的——清单和更新文件都以明文形式传输,更新程序未验证文件签名。
宏基的问题是虽然有对更新文件签名但更新器没有验证签名,这也就意味着这样的签名是没有用的。宏基也没有对更新列表签名,会使攻击者将恶意未签名文件添加到更新列表中。
华硕的情况甚至比宏基更糟糕。研究人员将它的更新程序称为“远程代码执行服务”——让黑客轻易操纵你的电脑的内置服务。华硕最大的问题是通过HTTP而不是HTTPS传输未签名的列表。尽管清单文件已加密,但它的加密算法是已被破解的算法,解锁文件的关键是“Asus Live Update”字样的MD5哈希值。因此,攻击者可以轻松拦截并解锁列表以进行更改。华硕的更新文件也没有签名,还是通过HTTP传输的。
研究人员发现,如果制造商只是想着怎么满足安全标准的最低水准,那么自身产品就有很大的概率被黑客攻陷。
几大厂商不光在安全机制上层次有别,在对安全问题反馈处理上更是高下立判:联想、惠普和戴尔都有直接渠道来报告其软件的安全问题,宏碁和华硕却没有,Duo Labs曾多次通过电子邮件和电话联系他们的客户支持热线才得到了答复。
各大厂商对研究人员的回应也各不相同。惠普已经修补好了研究人员发现的严重漏洞。联想只需从受影响的系统中删除易受攻击的软件即可解决问题。两个多月前,Duo Labs就向供应商报告了这些问题,但宏碁和华硕仍然没有表明他们什么时候解决这些问题,或者他们是否有解决问题的意愿。
Duo Labs安全研究主管Steve Manzuik说,
华硕告诉我们这个漏洞他们将在一个月后修补,但直到现在也没什么动静。