Windows PC制造商将客户挂在缺陷的Crapware更新器中
Win10管理员和开发人员应该获得10586.456 / KB 3170411进行测试
OLED笔记本电脑和平板电脑的势头褪色
Lloyds Bank从Microsoft测试生物识别身份验证
'可以做的'Devops团队的态度正在推动云首次策略
AT&T支持LG G4的Wi-Fi呼叫
主要的Windows 10将附近更新,因为Microsoft停止添加功能
雅虎销售有关搜索,广告和云的专利
FAA预计本周宣布商业无人机的规则
Microsoft Covets LinkedIn算法
Maersk希望无人机可以提供甜蜜的储蓄
技术投资核心摩根大通追逐成功
北欧Cio采访:Kari Finnskog,Västtrafik
新的松弛工具让您使用按钮与机器人聊天
VMware扩展了对地平线云的支持,包括Microsoft Azure
谷歌光纤和吊带,坐在树上,k.i.s.i.nn.g.
Salesforce介绍它的推动,让每个人开发商
从3月以来,数百名次级制度人员已申请加入IT相关的法律行动
俄罗斯城堡恶意软件开发商削减了美国当局的交易
NCSC表示,人们可以成为网络安全中最强的联系
SAP Q1 2017结果:云收入€906M,S / 4的5,800名客户
Chefconf 2017:Devops如何为数字转型成功设定企业
Camden Open Data Platform旨在拓展伦敦的踪迹
IBM Buys Ezsource以帮助转换数字世界的大型机应用程序
Palo Alto Networks与区域总部扩展了Apac足迹
HPE的新融合物联网系统将马力带到边缘
Microsoft向SQL Server 2016推出了SQL Server 2016,对Woo Oracle客户进行了特别交易
参议员在监视问题上摊位智力资金账单
第一眼:智能手机摄影的Dynaoptics镜头
MSSP如何扩大其安全分析师的容量
欧盟支持基金鼓励初创企业和企业之间的数据共享
此恶意软件假装WhatsApp,Uber和Google Play
如何更辩护
特斯拉刚刚在模型S轿车中进行了巨大的变化(提示:这不是技术功能)
为什么U.K.留下欧盟的投票将对其数据保护规则产生影响
巧克力制造商Barry Callebaut在云上变得甜蜜
它公司获得了种族对象存储,以提高基于S3的产品
Red Hat添加Gluster元数据缓存和容器部署
谷歌的南达希海被黑了;哪个首席执行官将接下来?
诺基亚对其新的物联网平台寄予厚望
惠普以新的方式销售PC,因为它试图加快升级
黑客泄露Mark Zuckerberg和其他值得更斯的社交媒体账户
网络钓鱼与假谷歌Docs应用程序获得个人
毕马威推出运动鼓励女性进入技术
2036的技术期望:披萨送货无人机和头像约会
我如何在30分钟内从零到超频
是在法国举行的道德问题吗?
修补周二:IE /边缘共享漏洞利用,Windows 10进步构建10586.420
华硕挑战iPad Mini与较少的Zenpad Z8
Debenhams Data Breacal强调需求供应链安全
您的位置:首页 >科技 > 物联科技 >

Windows PC制造商将客户挂在缺陷的Crapware更新器中

2021-07-09 13:44:28 [来源]:

杰克,惠普和联想在内的杰克Windows PC制造商已经在软件更新器中制作了“令人愤怒”的遗漏,他们用笔记本电脑捆绑在网络 - 犯罪分子的攻击中,这是一种安全公司。

“IT”2016年,“Duo Security的安全研究总监Steve Manzuik史蒂夫曼·朱(Steve Manzuik)在接受采访时说。“[这些更新者显示]缺乏您应该使用的基本安全措施。”

本周早些时候,Duo发布了一份报告,详细说明了来自五个OEM(原始设备制造商)的10个Windows笔记本电脑的报告 - 宏碁,华硕,戴尔,惠普和联想 - 专注于供应商预装载的软件更新工具机器。

这些更新者用于将专有和第三方软件保留与新PC捆绑在一起。OEM依赖更新器来刷新设备驱动程序和自己的支持工具,以及预先安装在新系统上的内部和第三方应用程序。后者是由嘲笑的嘲笑标签,包括“膨胀软件”和“漫步软件”,因为它们“经常获得OEM在驱动器上包装的低价应用程序。

Duo说,更新者有一个大牛眼涂在背上的眼睛。“任何下载和执行任意二进制文件的软件都是攻击者的诱人目标,”该公司在其报告中写道。“针对电线上的可执行文件的传输是一个无脑磨机。”

根据定义,Updaters下载二进制文件,然后执行它们。如果犯罪分子截获了更新的PC和服务器之间的流量 - 最有可能在经典的“中间人”攻击中,例如,在咖啡馆和机场(如咖啡店和机场)的无抵押Wi-Fi网络上可以将代码扭曲以具有更新程序安装和运行恶意软件。

这就是为什么顶层软件更新者,如Microsoft和Apple操作的那些,积极地保护该过程。Duo表示,该锁定最重要的组成部分:使用TLS(传输层安全性)协议将Device-to-Server-rack流量加密,将继承人转到SSL(安全套接字层);并以数字签名每次更新“清单”,或文件列表,以便更改它。

太糟糕了没有人告诉OEM更新者“程序员。

在五个供应商中,只使用TLS在加密通道上传输更新清单的戴尔和联想;其余的暴露了黑客拦截的新软件包和软件更新列表。其中五个,只有联想 - 然后只在它使用的两个更新器之一 - 数字签名清单以保护它免受未经授权的修改。(令人困惑的是,联想和戴尔在他们的行中使用不同的笔记本电脑上使用不同的更新者,更多的邋illy的工作。)

“这是这两件事的组合,”Manzuik说,省略了加密和签名。

据Duo安全研究员Darren Kemp称,缺乏明显的签约是关键。“清单驱动了更新,”Kemp说。“只有一个]根本签了。如果OEM已经正确实施,它几乎会停止每次攻击。“恶意”真的是描述[OEM的失败。]“

Duo在它看着的每个更新器中发现了安全漏洞,并缺乏加密和清单签名,判断利用这些漏洞,以利用KEMP写的支持博客文章,“水平”利用我们发现的大多数漏洞所需的复杂程度是在二重奏午餐室地板和平均盆栽植物上拥有的咖啡污渍之间的某个地方。

Manzuik“S和KEMP为新的Crapware-Infested PC买家的最佳建议是立即擦拭设备的驱动器并重新安装一个干净的Windows副本。虽然这是企业的标准做法 - 安装公司批准的图像 - 许多消费者和较小的企业发现很难。代替一个清洁的安装,Duo建议用户卸载不需要的软件,包括更新器。

Microsoft推出其其签名线的PC - OEM笔记本和桌面,没有或没有漂流软件 - 作为一种规避问题的一种方式。但是在审查的三个签名品牌笔记本中,一人来自华硕,戴尔和惠普,Duo发现所有仍然包括缺陷的更新者。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。