PC預載更新軟體潛藏危機，五大品牌PC都可能遭中間人攻擊

william77

研究人員以TLS傳送、更新manifest、manifest簽章及驗證碼檢驗等４個面向檢視五大PC品牌電腦預載軟體的安全性，發現各家業者預載軟體的安全性不一。駭客可能發動中間人攻擊。

安全研究公司Duo Security發佈安全研究報告，市售PC預載更新軟體可能沒有適當的安全機制而使用戶遭致駭客或惡意軟體入侵的風險，而且點名Dell、HP、Asus、宏碁、聯想等知名品牌都可能遭到中間人攻擊（man-in-the-middle, MITM）的風險。
Duo Security這份名為《開盒攻擊：OEM更新軟體的安全分析》的報告指出，市售電腦預載的各種軟體，大部份都沒什麼用，可稱為腫脹軟體（bloatware），或稱垃圾軟體（crapware）或騙人軟體（shovelware），因為他們會佔用記憶體空間、拖慢系統速度。但這類軟體最可怕的是會侵犯用戶隱私並帶來安全風險，像是聯想電腦的Superfish及Dell的eDellRoot。
在本項報告中，研究人員針對主要品牌（OEM）包括Dell、HP、聯想、以及華碩、宏碁的PC預載更新軟體。發現每家OEM都有一個或一個以上的預裝軟體，連最乾淨的微軟認證電腦系列（Signature Edition）都有OEM更新工具，成為比其他OEM軟體更大的發佈通路，然而卻也帶來廣大風險。
報告指出，這些更新軟體有各種不同目的和實作方式，安全程度高下不一。研究人員針對在TLS上傳送、更新的manifest、manifest簽章、以及驗證碼檢驗等４個面向來評估這些受測電腦的軟體安全性(如下圖)。結果顯示，有的廠商連簡單的TLS來驗證更新軟體完整性，或更新manifest內容的真實性，都沒做到。




研究人員發現，聯想的Solution Center 3.1.001四項具備，同時點名宏碁、華碩電腦，以及聯想的UpdateAgent 1.0.0.4，四個面向表現皆墨。安全人員最後辨識出12項漏洞並通報廠商，HP、聯想、宏碁Acer Care Center Live Update 10及華碩Asus Live Update系統，至少都發現一隻高風險漏洞。另外，Dell的eDellRoot仍欠缺憑證安全驗證。這意謂四家廠商電腦都可能招致中間人攻擊，以系統管理員權限執行任意程式碼。
其次，這些OEM軟體和其他工具相關聯，攻擊面廣，使駭客可以輕易透過其他工具入侵專屬於更新軟體的瑕疵。
安全人員表示，攻擊這些軟體的難度有如「如擦拭茶水間或植物花盆上的咖啡漬」一樣簡單，有的OEM產品不到10分鐘就被攻陷。
Duo Security指出，有的廠商如聯想及HP在安全通報機制上執行較徹底，然而有的廠商則是在通報三個月後仍然未修補漏洞。
四家廠商都未對此做出回應或評論。
研究人員建議PC用戶最好移除系統上的第三方腫脹軟體，因為消費者經常買了電腦後帶進公司並接上公司網路，而IT管理員也應該將此納入管理規範。此外，消費者也必須使用安全的密碼、雙因素驗證及開啟加密防護。