Эксперты из компании Duo Security исследовали приложения от пяти крупных производителей: Acer, ASUSTeK Computer, Lenovo, Dell и HP, которые поставляются на Windows-системы. В ходе исследования выяснилось, что ПО каждого производителя содержит как минимум одну опасную уязвимость.
Поставляемое на компьютеры ПО от производителей аппаратного обеспечения содержит уязвимости по умолчанию. При более детальном изучении, степень их ненадежности вызвала у экспертов серьезные опасения.
Наиболее распространенная проблема заключается в отсутствии защищенного канала передачи данных в процессе загрузки или проверке доступности обновлений. Помимо этого, далеко не все приложения проверяли цифровую подпись загруженного файла обновлений перед его установкой. Отказ от HTTPS при загрузке обновлений и отсутствие проверки цифровой подписи файла перед его выполнением дают возможность злоумышленнику осуществить атаку «человек посередине», подменить загружаемый файл и выполнить произвольный код на уязвимой системе.
Архитектура многих приложений и служб сильно удивила специалистов, так как они использовали всевозможные, включая не особо нужные решения, множество web-сервисов, COM-объектов, сокетов, именных каналов, расширений к браузерам. У экспертов появилось мнение, что большинство ПО писалось на основе сообщений и не самых оптимальных решений, взятых со StackOverflow.
Если говорить о позитивных выводах, самой надежной оказалась утилита для обновления от Lenovo. На фоне всех тестируемых систем Lenovo Solutions Center (LSC) показала себя как самая защищенная система обновления с превосходной защитой от атаки «человек посередине». Но и здесь нашелся минус – вместе с этой утилитой на систему поставляется также UpdateAgent, не имеющий никакой защиты.
После приобретения нового ПК эксперты настоятельно рекомендуют переустанавливать ОС, избавляясь от ПО производителей аппаратного обеспечения.
Источник http://www.securitylab.ru/