電腦製造商更新程序竟不驗證文件 存在嚴重安全隱患

您的計算機之所以在軟體更新過程中不會被劫持，很大程度上我們要感謝像微軟這類軟體公司，為了保障安全性，他們在操作系統和應用程序的更新上付出了巨大的努力。

與之相對的，PC硬體製造商在對待安全性上似乎就不那麼謹慎了。Duo Security通過對五家最受歡迎的PC製造商——惠普，戴爾，宏碁，聯想和華碩——的軟體更新的調查發現，所有這些品牌都存在嚴重的安全問題，導致電腦在軟體升級過程中容易被黑客攻擊。

Duo Labs的研究人員在針對此事件發布的一份報告中稱，五家製造商都有給計算機預裝更新器，但這些更新器里最少都會有一個高風險漏洞，讓攻擊者能夠遠程執行他們想要執行的任何惡意代碼，甚至獲得對系統的完全控制。並且，對黑客來說，想要利用這些漏洞也是很容易的。

這些製造廠商的漏洞問題多多少少是相似的，例如無法通過安全的HTTPS通道提供更新，或者不能簽名/驗證更新文件。這些問題都會導致更新文件在傳輸到電腦的過程中被劫持、替換為惡意文件，使攻擊者可以進行中間人攻擊。更新程序在電腦上是以最高級別的信任和特權運行的，哪怕電腦中具有其他保護措施，也都會被強制安裝上惡意文件。

報告中同時提到，大多數軟體的防禦機制是很有效的，但製造商們使用的預裝軟體反而削弱了這種抵抗力，屆時，所有的漏洞利用緩解措施、桌面防火牆和安全瀏覽增強功能都無法保護到用戶。

許多製造商也沒有對更新程序時從伺服器下載安裝的文件列表進行數字簽名。如果傳輸過程不安全的話，攻擊者很容易就能截獲這份未經簽名的列表，接著便可以從列表中刪除重要的更新文件，防止用戶獲得他們需要的更新，或者將惡意文件添加到該列表中。列表裡包含了一些執行更新文件所需的內聯命令，攻擊者可以簡單通過添加內聯命令的方式來安裝啟動惡意文件。在對惠普電腦的檢查中，研究人員發現他們除了能執行安裝更新的命令之外，甚至可以通過添加內聯命令在系統上執行任何管理級命令，比如向系統添加新的用戶帳戶來持續訪問系統。

Duo Security研究員Darren Kemp稱，

有許多方法可以利用命令注入的bug，通過修改列表中的內聯命令，你幾乎可以對電腦做任何事情。

研究人員在他們的報告中指出，他們所檢查的五家製造商只是一個抽樣，但基於這種現狀，其他品牌可能更不安全。然而，他們猜測蘋果系統可能就不會遇到這樣的問題，因為蘋果公司在軟體安全性上是出了名了嚴格，那些雜七雜八的第三方應用會被蘋果拒之門外。

Kemp說，

這就是蘋果的安全保障機制之一，你使用蘋果系統，就只能用他們認證過的軟體，所以這種情況下，蘋果是很有優勢的。

當消費者購買一台計算機時，也相當於購買了計算機上的更新服務——用於固件更新、驅動程序更新，當然也會更新到所謂的臃腫軟體。臃腫軟體的含義很廣，從第三方軟體的30天試用版，到廠商為你的電腦添加的某些特殊功能的程序，還有你上網時給你瀏覽器發送廣告的廣告軟體——都屬於臃腫軟體的範疇。一般情況下，更新程序會在製造商指定的站點上下載更新，但有時也會在第三方軟體的站點上獲取更新。

研究人員在上述五家製造商中共發現了12處漏洞，每家製造商的更新程序中都至少有一個允許遠程執行代碼的高風險漏洞。有的製造商在機器上安裝了多個更新程序，每個更新程序的安全性還不一致。

戴爾的更新程序在五家廠商中相對是最安全的，雖然戴爾也沒有對更新程序列表簽名，但它通過安全的HTTPS渠道發送列表和更新文件，能阻止簡單的中間人攻擊。戴爾更新程序還會驗證更新文件是否已被簽名，以及用於簽名的證書是否有效。

雖然研究人員發現戴爾用於基礎服務的最新版更新程序存在問題，但戴爾公司顯然已經發現了這些漏洞，在研究報告發表之前就修補好了。

聯想的安全機制可謂是參差不齊。研究人員檢查了它的兩個更新程序——聯想解決方案中心（Lenovo Solutions Center）和升級專家（UpdateAgent）——前者幾乎可以說是檢查結果中最優秀的，但後者是最糟糕的——清單和更新文件都以明文形式傳輸，更新程序未驗證文件簽名。

宏基的問題是雖然有對更新文件簽名但更新器沒有驗證簽名，這也就意味著這樣的簽名是沒有用的。宏基也沒有對更新列表簽名，會使攻擊者將惡意未簽名文件添加到更新列表中。

華碩的情況甚至比宏基更糟糕。研究人員將它的更新程序稱為「遠程代碼執行服務」——讓黑客輕易操縱你的電腦的內置服務。華碩最大的問題是通過HTTP而不是HTTPS傳輸未簽名的列表。儘管清單文件已加密，但它的加密演算法是已被破解的演算法，解鎖文件的關鍵是「Asus Live Update」字樣的MD5哈希值。因此，攻擊者可以輕鬆攔截並解鎖列表以進行更改。華碩的更新文件也沒有簽名，還是通過HTTP傳輸的。

研究人員發現，如果製造商只是想著怎麼滿足安全標準的最低水準，那麼自身產品就有很大的概率被黑客攻陷。

幾大廠商不光在安全機制上層次有別，在對安全問題反饋處理上更是高下立判：聯想、惠普和戴爾都有直接渠道來報告其軟體的安全問題，宏碁和華碩卻沒有，Duo Labs曾多次通過電子郵件和電話聯繫他們的客戶支持熱線才得到了答覆。

各大廠商對研究人員的回應也各不相同。惠普已經修補好了研究人員發現的嚴重漏洞。聯想只需從受影響的系統中刪除易受攻擊的軟體即可解決問題。兩個多月前，Duo Labs就向供應商報告了這些問題，但宏碁和華碩仍然沒有表明他們什麼時候解決這些問題，或者他們是否有解決問題的意願。

Duo Labs安全研究主管Steve Manzuik說，

華碩告訴我們這個漏洞他們將在一個月後修補，但直到現在也沒什麼動靜。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！