WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Tiện ích dùng thử bloatware tồn tại nhiều lỗ hổng an ninh nghiêm trọng
Một bản báo cáo dài 36 trang tiết lộ tình trạng thiếu an ninh của tiện ích dùng thử bloatware OEM của laptop. Các tiện ích phiền toái này, thường được gọi là bộ cập nhật trình điều khiển (driver updater), chủ yếu được coi là những crapware (phần mềm rác), được tích hợp sẵn trong máy tính laptop mới mua.
Bảng thử nghiệm lỗ hổng an ninh của Duo
Duo Security, hãng an ninh thực hiện bản báo cáo, đã nghiên cứu phần mềm cập nhật driver được tích hợp trong máy tính xách tay của Acer, Asus, Dell, Hewlett-Packard (HP) và Lenovo.
Kết quả phân tích hóa ra không như những gì nhóm nghiên cứu dự đoán và là “thảm họa” đối với người dùng.
Nhóm nghiên cứu phát hiện nhiều máy tính laptop và notebook OEM (nhà sản xuất thiết bị gốc) tích hợp bloatware. Trong khi các tiện ích này đã được các chuyên gia chứng minh là tồn tại nhiều vấn đề an ninh có thể dẫn đến các cuộc tấn công chiếm quyền kiểm soát thiết bị.
Hầu hết bloatware có lỗ hổng an ninh RCE, dễ bị tấn công MitM
Duo cho hay phần mềm cập nhật driver của mỗi nhà cung cấp laptop đều có ít nhất một lỗ hổng an ninh, cho phép hacker thực thi mã trên laptop người dùng và kiểm soát thiết bị.
Tồi tệ hơn, Duo cho biết, rất ít nhà cung cấp biết cách thực hiện mã hóa TLS, điều này giải thích lý do tại sao các sự cố như Superfish và eDellRoot lại xảy ra.
Hơn nữa, Duo cũng tiết lộ rất ít nhà cung cấp biết cách xác nhận và xác minh tính toàn vẹn của các bản cập nhật driver được tải về, khiến người dùng có thể cài đặt trình điều khiển giả mạo.
Ngay cả công cụ cập nhật cho kết quả hoàn thiện cũng từng có lỗ hổng an ninh
Nhìn vào ảnh trên có thể thấy công cụ cập nhật driver của Lenovo có các kết quả dương tính trong bảng thử nghiệm của Duo.
Hiện tại, công cụ này có thể đã an toàn, nhưng trước đó thì không. Vài tháng trước, các nhà nghiên cứu an ninh đã gửi khiếu nại và thông báo lỗi cho Lenovo, với mong muốn hãng cung cấp chế độ an ninh tốt hơn cho các ứng dụng của mình. Trong khi, hồi đầu tháng, các ứng dụng này vừa mới nhận được bản cập nhật khắc phục một số lỗ hổng được thông báo.
Bảng thử nghiệm lỗ hổng an ninh của Duo
Duo Security, hãng an ninh thực hiện bản báo cáo, đã nghiên cứu phần mềm cập nhật driver được tích hợp trong máy tính xách tay của Acer, Asus, Dell, Hewlett-Packard (HP) và Lenovo.
Kết quả phân tích hóa ra không như những gì nhóm nghiên cứu dự đoán và là “thảm họa” đối với người dùng.
Nhóm nghiên cứu phát hiện nhiều máy tính laptop và notebook OEM (nhà sản xuất thiết bị gốc) tích hợp bloatware. Trong khi các tiện ích này đã được các chuyên gia chứng minh là tồn tại nhiều vấn đề an ninh có thể dẫn đến các cuộc tấn công chiếm quyền kiểm soát thiết bị.
Hầu hết bloatware có lỗ hổng an ninh RCE, dễ bị tấn công MitM
Duo cho hay phần mềm cập nhật driver của mỗi nhà cung cấp laptop đều có ít nhất một lỗ hổng an ninh, cho phép hacker thực thi mã trên laptop người dùng và kiểm soát thiết bị.
Tồi tệ hơn, Duo cho biết, rất ít nhà cung cấp biết cách thực hiện mã hóa TLS, điều này giải thích lý do tại sao các sự cố như Superfish và eDellRoot lại xảy ra.
Hơn nữa, Duo cũng tiết lộ rất ít nhà cung cấp biết cách xác nhận và xác minh tính toàn vẹn của các bản cập nhật driver được tải về, khiến người dùng có thể cài đặt trình điều khiển giả mạo.
Ngay cả công cụ cập nhật cho kết quả hoàn thiện cũng từng có lỗ hổng an ninh
Nhìn vào ảnh trên có thể thấy công cụ cập nhật driver của Lenovo có các kết quả dương tính trong bảng thử nghiệm của Duo.
Hiện tại, công cụ này có thể đã an toàn, nhưng trước đó thì không. Vài tháng trước, các nhà nghiên cứu an ninh đã gửi khiếu nại và thông báo lỗi cho Lenovo, với mong muốn hãng cung cấp chế độ an ninh tốt hơn cho các ứng dụng của mình. Trong khi, hồi đầu tháng, các ứng dụng này vừa mới nhận được bản cập nhật khắc phục một số lỗ hổng được thông báo.
Nguồn: Softpedia