Také Asus poskytuje děravý aktualizační nástroj. Dejte pozor na LiveUpdate

0

Další výrobce počítačů byl obviněn z toho,
že jím přidávaný bloatware otevírá vrátka pro případný
útok. Před pár dny samo Lenovo nakonec doporučilo, abyste
odebrali Accelerator Application
. Tentokrát problémy
způsobuje softwaru od Asusu
. Výzkumník Morgan Gangwere
poukázal na problém, který opět souvisí s aktualizačním
nástrojem. Asus pro své počítače poskytuje nástroj
LiveUpdate
.

S ním můžete aktualizovat nejen ovladače,
ale také např. BIOSy. Kámen úrazu spočívá v tom, že
obsah ze serverů k počítačům putuje ve formě archivu ZIP
zcela nezabezpečeně přes protokol HTTP. Obsah archivu je rozbalen
do složky s dočasnými soubory, přičemž spustitelný soubor
je pak spuštěn s právy správce. Nedochází přitom ke
kontrole spouštěného obsahu.

Toto není skutečná kritická aktualizace. Výzkumník dokázal, že je snadné softwaru podstrčit, co budete chtít
Toto není skutečná kritická aktualizace. Výzkumník dokázal, že je snadné softwaru
podstrčit, co budete chtít | Foto: Morgan Gangwere

Tudíž kdyby vám někdo podstrčil modifikovaný
archiv, mohl by počítač např. napadnou virus. Nezabezpečená
komunikace k útoku man-in-the-middle vyloženě svádí
.
Tento typ útoku bylo možné využít také v případě
aktualizačního procesu v softwaru od Lenova, o němž
jsme psali před pár dny. Výrobci by se vážně měli poučit.

Ideálně proto Asus LiveUpdate nepoužívejte a
odinstalujete. Podrobnosti o tom, jak funguje zmíněný
nástroj, najdete na blogu Morgana
Gangwereho
. Na závěr si dovolím zopakovat doporučení
z minula: Když si koupíte počítač, úložiště
naformátujte a proveďte čistou instalaci systému. Je to možná
řešení drastické, zato funkční a poměrně snadné.

Zdroj: *indrora->mind
via TheINQUIRER

Ohodnoťte tento článek!