Разделы

Безопасность Пользователю Техника

Ноутбуки HP, Acer и Asus оказались полны уязвимостей, позволяющих взломать их за 10 минут

Ноутбуки HP, Acer, Asus и др. оказались полны уязвимостей, из-за которых хакерам нужно не более 10 минут для получения доступа к пользовательским данным. Примечательно, что «дыры» были обнаружены в фирменном предустановленном ПО, предназначенном для обновления драйверов. 

Уязвимости в ноутбуках популярных марок

Ряд ноутбуков, в числе которых устройства HP, Acer, Asus и др., содержат уязвимости, позволяющие хакерам взломать их и получить доступ к пользовательским данным менее, чем за 10 минут. Такой вывод сделала компания Duo Security, проверившая ноутбуки, приобретенные в розничных магазинах в США, Канаде и Великобритании.

Все дело в обновлениях

Все приобретенные ноутбуки были предложены с предустановленным программным обеспечением производителя, служащим для обновления драйверов и других компонентов. Именно в этом ПО и были обнаружены уязвимости.

Приложения, предназначенные для обновления системы, связываются с серверами производителей ноутбуков раз в несколько дней, недель или месяцев. Некоторые производители при этом не пользуются даже простейшим шифрованием для защиты соединений. Это открывает хакерам широкое поле для действий. Они могут изменить информацию, которая отправляется пользователю с сервера, внедрить в нее вредоносный код и взломать ПК.

Слишком много bloatware

«На каждом ноутбуке присутствует масса различного ПО для решения разноплановых задач, созданного различными подразделениями. Мне кажется, что производителю трудно проконтролировать все это. У него просто нет времени на то, чтобы защитить каждое предустановленное приложение», — рассказал аналитик Duo Security Даррен Кемп (Darren Kemp).

Ноутбуки известных брендов оказались полны уязвимостей

Такие предустановленные программы часто называют bloatware. Они засоряют жесткий диск, память и увеличивают нагрузку на процессор.

Марина Яловега, «Группа Астра»: Соискателям интересны амбициозные ИТ-проекты, значимые для страны
Цифровизация

Реакция производителей

Исследование было проведено в период с октября 2015 г. по апрель 2016 г. Duo Security проинформировала обо всех находках производителей протестированных компьютеров. Некоторые выпустили патчи в кратчайшие сроки. Хуже всего же реакция оказалась у Asus и Acer.

«В ноутбуке Asus было найдено две уязвимости. Она из них, довольно очевидная, позволяла выполнить произвольный код. Фактически хакеру требовалось не более 10 минут, чтобы проникнуть в систему с ее помощью», — поделился директор по безопасности Duo Security Стив Манзуйк (Steve Manzuik).

«В компании заявили нам, что выпустили патч. Но мы его не увидели. Как выяснилось, они действительно разработали патч, но не распространили его. Прошло три месяца с того момента, когда мы сообщили им об уязвимости», — сказал он.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Дополнение

В российском представительстве Acer сообщили CNews, что патч для устранения указанных уязвимостей уже выпущен и доступен для загрузки на ноутбуках компании. 

Сергей Попсулин