Windows PC制造商将客户挂在缺陷的Crapware更新器中

杰克，惠普和联想在内的杰克Windows PC制造商已经在软件更新器中制作了“令人愤怒”的遗漏，他们用笔记本电脑捆绑在网络 - 犯罪分子的攻击中，这是一种安全公司。

“IT”2016年，“Duo Security的安全研究总监Steve Manzuik史蒂夫曼·朱（Steve Manzuik）在接受采访时说。“[这些更新者显示]缺乏您应该使用的基本安全措施。”

本周早些时候，Duo发布了一份报告，详细说明了来自五个OEM（原始设备制造商）的10个Windows笔记本电脑的报告 - 宏碁，华硕，戴尔，惠普和联想 - 专注于供应商预装载的软件更新工具机器。

这些更新者用于将专有和第三方软件保留与新PC捆绑在一起。OEM依赖更新器来刷新设备驱动程序和自己的支持工具，以及预先安装在新系统上的内部和第三方应用程序。后者是由嘲笑的嘲笑标签，包括“膨胀软件”和“漫步软件”，因为它们“经常获得OEM在驱动器上包装的低价应用程序。

Duo说，更新者有一个大牛眼涂在背上的眼睛。“任何下载和执行任意二进制文件的软件都是攻击者的诱人目标，”该公司在其报告中写道。“针对电线上的可执行文件的传输是一个无脑磨机。”

根据定义，Updaters下载二进制文件，然后执行它们。如果犯罪分子截获了更新的PC和服务器之间的流量 - 最有可能在经典的“中间人”攻击中，例如，在咖啡馆和机场（如咖啡店和机场）的无抵押Wi-Fi网络上可以将代码扭曲以具有更新程序安装和运行恶意软件。

这就是为什么顶层软件更新者，如Microsoft和Apple操作的那些，积极地保护该过程。Duo表示，该锁定最重要的组成部分：使用TLS（传输层安全性）协议将Device-to-Server-rack流量加密，将继承人转到SSL（安全套接字层）;并以数字签名每次更新“清单”，或文件列表，以便更改它。

太糟糕了没有人告诉OEM更新者“程序员。

在五个供应商中，只使用TLS在加密通道上传输更新清单的戴尔和联想;其余的暴露了黑客拦截的新软件包和软件更新列表。其中五个，只有联想 - 然后只在它使用的两个更新器之一 - 数字签名清单以保护它免受未经授权的修改。（令人困惑的是，联想和戴尔在他们的行中使用不同的笔记本电脑上使用不同的更新者，更多的邋illy的工作。）

“这是这两件事的组合，”Manzuik说，省略了加密和签名。

据Duo安全研究员Darren Kemp称，缺乏明显的签约是关键。“清单驱动了更新，”Kemp说。“只有一个]根本签了。如果OEM已经正确实施，它几乎会停止每次攻击。“恶意”真的是描述[OEM的失败。]“

Duo在它看着的每个更新器中发现了安全漏洞，并缺乏加密和清单签名，判断利用这些漏洞，以利用KEMP写的支持博客文章，“水平”利用我们发现的大多数漏洞所需的复杂程度是在二重奏午餐室地板和平均盆栽植物上拥有的咖啡污渍之间的某个地方。

Manzuik“S和KEMP为新的Crapware-Infested PC买家的最佳建议是立即擦拭设备的驱动器并重新安装一个干净的Windows副本。虽然这是企业的标准做法 - 安装公司批准的图像 - 许多消费者和较小的企业发现很难。代替一个清洁的安装，Duo建议用户卸载不需要的软件，包括更新器。

Microsoft推出其其签名线的PC - OEM笔记本和桌面，没有或没有漂流软件 - 作为一种规避问题的一种方式。但是在审查的三个签名品牌笔记本中，一人来自华硕，戴尔和惠普，Duo发现所有仍然包括缺陷的更新者。