A gyártók hagyják nyitva PC-iket a támadók előtt
Kritikus biztonsági résekkel szórják meg a PC-ket az előre telepített gyártói szoftverek - derült ki a Duo Labs tanulmányából. A titkosítás és aláírások hiánya sok esetben tetszőleges kódfuttatásra ad lehetőséget a támadók számára.
Legyen szó okostelefonokról vagy notebookokról, a szolgáltatók és gyártók által előre telepített, "bloatware" néven is emlegetett alkalmazások sok első kicsomagolást-bekapcsolást keserítettek már meg, az esetek túlnyomó részében a tárhelyet fölöslegesen foglaló appok ráadásul, mint tavaly ősszel a Dell, illetve a Lenovo háza táján kirobbant botrányok során bebizonyosodott, sokszor komoly biztonsági kockázatot is jelentenek.
Ezt erősíti meg a Duo Labs biztonsági cég nemrég publikált tanulmánya is, amely a PC-gyártók termékeire előre telepített egyes bloatware-ek által jelentett potenciális veszélyeket vizsgálta meg. A vállalat egész pontosan az Acer, az ASUS, a Dell, a HP és a Lenovo szoftverfrissítő alkalmazásait vette górcső alá - és kivétel nélkül mindegyik gyártó esetében talált legalább egy nagy, biztonsági kockázatot jelentő sebezhetőséget, amely tetszőleges kódfuttatásra is lehetőséget adott az eszközökön, méghozzá SYSTEM jogosultság mellett. Ezzel egy potenciális támadó gyakorlatilag korlátlan hatalmat kaphat a kiszemelt gépen. A helyzetet súlyosbítja, hogy a kutatók szerint a legtöbb biztonsági rés kihasználása triviális.
A hasonló bloatware-ek által jelentett problémát jól mutatja, hogy még a maga Microsoft is igyekszik azok számát minimalizálni a rendszerével kiadott gépeken. Ezt a célt szolgálja a vállalat "Signature Edition" kezdeményezése, az utóbbi címkével ellátott eszközökről a cég elviekben száműzi a gyártói előre telepített appokat - gyakorlatban viszont az adott eszközhöz szükséges egyedi driverek, illetve az azokhoz kapcsolódó, gyenge védelmű szoftverfrissítő kliensek így is felkerülnek az eszközökre, amelyek épp ezért kiemelten vonzó célpontot jelentenek a támadók számára.
A Duo Labs által felfedezett, leginkább "megbocsáthatatlan" gyengeséget a TLS (Transport Layer Security) hiánya jelenti, az alapvető biztonsági protokoll nélkül ugyanis nincs lehetőség a beérkezett frissítések megfelelő hitelesítésére, ami utat nyit a kártékony csomagokkal végzett, beékelődéses támadások előtt. A kutatás szerint a Dellt leszámítva az összes gyártó egyszerű HTTP kapcsolaton továbbította az eszközökre egyes frissítések megjelenésére figyelmeztető adatcsomagokat, ez ráadásul több esetben hibás vagy akár teljesen hiányzó aláírás-ellenőrzésekkel párosult, így a frissítő-app szintet tetszőleges telepítőnek átadta a stafétát.
A hanyag biztonsági gyakorlat által jelentett legnagyobb veszély, hogy lényegében az összes felsorolt gyártó termékeinél lehetőséget ad közbeékelődéses támadásokra: az említett, titkosítatlan kapcsolaton, akár aláírás nélkül küldözgetett adatcsomagokat illetéktelenek könnyűszerrel elcsíphetik, majd azokat kihasználva saját, kártékony szoftvereikkel megpakolt frissítést küldhetnek ki a célba vett eszközökre. De a cégek elővigyázatlansága egy sor egyszerűbb támadást is lehetővé tesz, a frissítési értesítések ugyanis sokszor maguk is tartalmaznak különböző végrehajtandó parancsokat, például egy-egy update csomag telepítésére - ezeket átírva a támadók maguk is tetszőleges parancsokat hajthatnak végre az érintett PC-ken.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
De a szakértők egy sor további problémát is találtak, ilyen például a "csendes" frissítések lehetősége, amely lehetővé teszi a látható értesítés nélküli update-telepítést - ez bár önmagában nem tényleges biztonsági rés, a fentieket kihasználó támadóknak viszont segít a háttérben maradni. Tovább rontja a helyzetet, hogy még ha valahol használnak is a cégek valamilyen formájú titkosítást, az sokszor könnyedén visszafejthető, ráadásul több estben nem is a lényeges területeken biztosít védelmet - erre az ASUS és a Dell esetében is volt példa. A kutatás megjelenését követően egyébként, ahogy azt az Ars Technica is kiemeli, a Lenovo kiadott egy nyilatkozatot, amelyben az előre telepített Lenovo Accelerator alkalmazás eltávolítását javasolja felhasználóinak.
A Duo Labs tanulmánya remekül mutatja, hogy sokszor hiába tesz meg mindent a felhasználó, illetve akár az operációs rendszer fejlesztője is az adott gép biztonságáért, ha a gyártó arra nem fordít kellő figyelmet. A probléma nagyon hasonlít az Android ökoszisztéma rákfenéjére, igaz ott nem elsősorban a bloatware, hanem a cégek kis frissítési hajlandósága jelenti a fő veszélyt a felhasználókra - az ugyanakkor jól látszik, hogy a labda mindkét esetben a gyártók oldalán pattog. PC-vásárlásnál tehát érdemes legalább akkora figyelmet fordítani az előre telepített bloatware-ek minimalizálására vagy utólagos törlésére (vagy akár egy "tiszta" rendszer manuális telepítésére), mint az androidos eszközök esetében arra, hogy csak rendszeres biztonsági frissítéseket biztosító gyártótól vásároljunk.