据科技网站CNET报道,当地时间周二,安全公司Duo Security旗下研究部门Duo Labs发表调查报告称,宏碁、华硕、戴尔、惠普和联想笔记本预装的软件更新工具,均包含有至少一处危急安全缺陷,黑客可以轻松利用这些缺陷兴风作浪。Duo Labs在所有PC厂商预装的软件中发现12处不同的安全缺陷。
PC厂商预装软件包括对产品注册的软件以及让用户免费试用30天的软件,它们通常被称为膨胀件,因为它们基本上没有什么用途,也不是应用户要求安装的。据Duo Labs称,膨胀件不仅是多余的,还经常成为安全链条上的薄弱环节。
安全研究人员达伦·肯普(Darren Kemp)周二发表博文称,“黑客利用大多数这些缺陷兴风作浪的难度不高。”
Duo Labs的调查突显了非必要软件的风险。用户很少使用,甚至不知道笔记本上安装有这些软件,它们通常不会得到及时更新,很容易成为黑客攻击的靶子。报告指出,PC厂商还没有在这些更新工具中采取基本的安全措施。膨胀件不仅仅令人讨厌,还会带来安全风险。
报告称,真正让人沮丧的是,笔记本用户对于由厂商更新工具造成的安全缺陷基本上无计可施,消除这些安全风险需要大量时间和精力:研究团队建议用户清除OEM系统,重新安装没有膨胀件的Windows拷贝,卸载任何不必要的软件。
Duo Labs已经向PC厂商通报了它们软件中的缺陷,部分缺陷已经被修复。Duo Labs之所以选择研究这些品牌,是因为它们的产品受到用户青睐。Duo Labs称,在许多情况下,使用OEM更新工具中的加密技术,能提高缺陷被黑客利用的难度。
Duo Labs称,惠普已经修正了其更新工具中的高风险缺陷,联想将发布更新包,卸载旗下所有笔记本中的问题软件。宏碁和华硕承认它们的产品存在缺陷,但尚未发布补丁软件。在Duo Labs接洽前,戴尔就发布了一款更新包,修正其产品存在的多个缺陷。
本文转自d1net(转载)
