|
Windows电脑制造商把客户干出来的有缺陷的垃圾软件更新程序。灰鸽子,远程控制软件
调查发现Windows OEM犯“严重的遗漏基本安全
突出的Windows电脑制造商,包括宏碁,休利特帕卡德和联想,都在软件更新程序包,给客户留下他们笔记本电脑从网络罪犯攻击的风险做出了“惊人”的疏漏,安全公司说。
“2016,”史提夫说,曼如克,在双核安全研究部主任,在接受采访。”[更新]这表明缺乏基本的安全措施,你应该使用。”
本周早些时候发表的一份报告详细说明,由于10的Windows笔记本电脑考试五OEM(原始设备制造商),宏碁,华硕,戴尔,HP,联想,专注于软件更新工具厂商预装在他们的机器。
这些更新程序是用来保持自营和第三方软件捆绑的新电脑上日期。OEM依靠更新更新设备驱动程序和自己的支持工具,以及内部和第三方应用程序预装在新系统。后者是由一系列的嘲笑的标签,包括“臃肿”和“垃圾”,“因为他们经常低价值应用原始设备制造商支付包驱动。
器有大公牛的眼睛画上他们的背,说多了”。任何软件,下载和执行任意二进制文件是一个诱人的目标,攻击者,“该公司在其报告中写道。”针对可执行文件在传输线上是没有道理的。”
根据定义,更新程序下载的二进制文件,然后执行。如果罪犯拦截PC和服务器-最有可能的之间的一个更新的交通中的一个经典的“中间人”的攻击,说,在一个不安全的Wi-Fi网络,像那些在咖啡店和机场,他们可以把代码有更新安装和运行恶意软件。
这就是为什么顶级的软件更新程序,如微软和苹果的操作,积极的安全生产。该锁的最重要的组成部分,说二:加密设备服务器和回流量使用TLS(传输层安全)协议,继承了SSL(安全套接字层);和数字签名的每一次更新的“清单”或文件列表,所以它是不可改变的。
可惜没人告诉OEM更新程序的程序员。
这五个厂商,只有戴尔和联想发送的更新清单通过加密通道使用TLS;其余的曝光名单新软件包和软件被黑客截取更新。和五,只有联想,然后只在一个更新的它使用数字签名保护它免受未经授权的修改清单。(令人困惑的是,联想和戴尔采用不同的更新程序在不同的笔记本电脑在其产品线,马虎的工作。越来越多的证据)
“这是一个组合,这两样东西,说:”曼如克,指加密和签名被省略。
但清单签名的缺乏是关键,根据戴伦肯普,双核安全研究员”。明显的驱动更新,“他说。”签署了所有的。如果制造商实施了正确,它会阻止几乎所有的攻击。”令人震惊的“真的”这个词来形容[客户]”的失败。
由于发现的更新程序,它看着每一个安全漏洞,并与加密和清单签名的不足,认为利用这些漏洞为小事,或说公司用于支持写的博客文章“坎普,需要利用的漏洞发现介于所拥有的二人午餐室地板的咖啡渍和一般的盆栽植物的水平。”
曼如克的肯普的新买家的垃圾最好的建议是立即擦拭出没的电脑设备的驱动,重新安装一个干净的Windows副本。虽然这是企业的标准做法-安装一个公司通过的图像-许多消费者和小企业发现,困难。在一个干净的安装场所,多建议用户卸载不需要的软件,包括更新程序。
微软称其签名系列电脑——OEM的笔记本电脑和台式机,没有或很少受--作为一种方法来解决这个问题。但三签名品牌笔记本电脑检查,分别来自华硕、戴尔和惠普,二人发现所有的还包括有缺陷的更新程序。 |
|