PC預載更新軟體潛藏危機,五大品牌PC都可能遭中間人攻擊 ... | 全台第三方支付網
2016年6月1日—安全人員最後辨識出12項漏洞並通報廠商,HP、聯想、宏碁AcerCareCenterLiveUpdate10及華碩AsusLiveUpdate系統,至少都發現一隻高風險漏洞。
安全研究公司Duo Security發佈安全研究報告[1],市售PC預載更新軟體可能沒有適當的安全機制而使用戶遭致駭客或惡意軟體入侵的風險,而且點名Dell、HP、Asus、宏碁、聯想等知名品牌都可能遭到中間人攻擊(man-in-the-middle, MITM)的風險。
Duo Security這份名為《開盒攻擊:OEM更新軟體的安全分析》[2]的報告指出,市售電腦預載的各種軟體,大部份都沒什麼用,可稱為腫脹軟體(bloatware),或稱垃圾軟體(crapware)或騙人軟體(shovelware),因為他們會佔用記憶體空間、拖慢系統速度。但這類軟體最可怕的是會侵犯用戶隱私並帶來安全風險,像是聯想電腦的Superfish及Dell的eDellRoot。
在本項報告中,研究人員針對主要品牌(OEM)包括Dell、HP、聯想、以及華碩、宏碁的PC預載更新軟體。發現每家OEM都有一個或一個以上的預裝軟體,連最乾淨的微軟認證電腦系列(Signature Edition)都有OEM更新工具,成為比其他OEM軟體更大的發佈通路,然而卻也帶來廣大風險。
報告指出,這些更新軟體有各種不同目的和實作方式,安全程度高下不一。研究人員針對在TLS上傳送、更新的manifest、manifest簽章、以及驗證碼檢驗等4個面向來評估這些受測電腦的軟體安全性(如下圖)。結果顯示,有的廠商連簡單的TLS來驗證更新軟體完整性,或更新manifest內容的真實性,都沒做到。
研究人員發現,聯想的Solution Center 3.1.001四項具備,同時點名宏碁、華碩電腦,以及聯想的UpdateAgent 1.0.0.4,四個面向表現皆墨。安全人員最後辨識出12項漏洞並通報廠商,HP、聯想、宏碁Acer Care Center Live Update 10及華碩Asus Live Update系統,至少都發現一隻高風險漏洞。另外,Dell的eDellRoot仍欠缺憑證安全驗證。這意謂四家廠商電腦都可能招致中間人...
3C服務讚 | 全台第三方支付網
Acer Care Center | 全台第三方支付網
acer care center ptt | 全台第三方支付網
Acer Care Center 應用程式更新機制安全性問題 | 全台第三方支付網
acer care center仍在啟動中,大家都在找解答 旅遊日本住宿評價 | 全台第三方支付網
PC預載更新軟體潛藏危機,五大品牌PC都可能遭中間人攻擊 ... | 全台第三方支付網
Software | 全台第三方支付網
為什麼Acer 取消了電池充電量的設定? (第2頁) | 全台第三方支付網
詢問Acer附屬程式如何使用 | 全台第三方支付網
進化的Acer Care Center | 全台第三方支付網
【宏碁資產管理有限公司】統編是多少?統一編號:28791980
公司名稱:宏碁資產管理有限公司統一編號:28791980所在城市:臺北市詳細地址:大安區信義路4段170號3樓之1公司資本額:0公司狀態...