Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Preinstalowane aplikacje OEM są dziurawe i stanowią zagrożenie

LukasAMD | 09-12-2015 10:42 |

VirusKupujac nowy komputer lub smartfon często stykamy się z problemem licznego preinstalowanego przez producenta oprogramowania. System dołączany ze sprzętem nie stanowi problemu, często jest jednak spowolniony przez dodatkowe aplikacje – próbne wersje pakietów biurowych, antywirusów, narzędzi diagnostycznych i programów przeznaczonych do świadczenia zdalnej pomocy technicznej. Pół biedy, gdy jedynie spowalniają komputer. Sytuacja wygląda gorzej, jeżeli aplikacje te stanowią zagrożenie. Ostatnie odkrycie pokazuje, że i taki czarny scenariusz ma coraz częściej miejsce. Badacz Slipstream przeanalizował oprogramowanie dołączane do komputerów Lenovo, Della i Toshiby. W każdym z tych przypadków udało się znaleźć poważne podatności ułatwiające wykonanie ataku i przejęcie kontroli nad urządzeniem.

Lenovo - Wbudowany serwer www podatny na atak CSRF.

Zagrożenie jest poważne, bo dziurawe aplikacje są preinstalowane i wielu użytkowników nawet nie zdaje sobie sprawy z tego, że może je usunąć. W przypadku Lenovo chodzi o aplikację Lenovo Solution Center. Uruchamia ona proces LSCTaskService, który korzysta z pełnych uprawnień administratora i który uruchamia serwer webowy na porcie 55555. Następnie przyjmuje polecenia za pomocą żądań GET i POST, może wykonywać kod zlokalizowany w miejscu, do którego dostęp ma zwykły użytkownik – atakujący może go więc tam w jakiś sposób podrzucić (np. przekonując do tego użytkownika), a następnie uruchomić wykonywanie szkodliwego kodu.

Bloatware

Oprócz tego wspomniany proces jest narażony na atak typu CSRF – w efekcie wydawać komendy może w zasadzie każda odwiedzona strona internetowa. Podobnie wygląda sytuacja w przypadku Dell System Detect. Również to oprogramowanie może wykonywać polecenia z uprawnieniami administratora, a dziury w nim zawarte umożliwiają „podstawienie” mu szkodliwych aplikacji. Cyberprzestępca może więc najpierw przesłać nam teoretycznie nieszkodliwą, niewymagającą podwyższonych uprawnień aplikację, a następnie wykorzystać System Detect do zmiany działania i przejęcia kontroli nad całym komputerem. Tosbiha Service Station daje dostęp do całego rejestru na poziomie konta SYSTEM (najwyższe uprawnienia). Można je przejąć nawet z poziomu standardowego użytkownika, operację taką wykonać więc może szkodliwe oprogramowanie.

Najlepszym rozwiązaniem jest ręczna instalacja oprogramowania.

Użytkownicy posiadające komputery wymienionych firm powinni w miarę możliwości odinstalować wymienione aplikacje – producenci pracują już nad poprawkami. Przykłady te pokazują jednak, że komputer prosto ze sklepu sam w sobie może stanowić zagrożenie. Jeżeli pozwala nam na to czas i posiadana wiedza, warto samodzielnie przeinstalować system, pozbyć się preinstalowanego oprogramowania (i potencjalnie niebezpiecznych certyfikatów, jak te od Della i Lenovo), a następnie samodzielnie zainstalować jedynie niezbędne sterowniki i oprogramowanie wykorzystywane na co dzień.

Źródło: The Register
5
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 6

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.