訊北京時(shí)間6月1日消息,據(jù)科技網(wǎng)站CNET報(bào)道,當(dāng)?shù)貢r(shí)間周二,安全公司Duo Security旗下研究部門Duo Labs發(fā)表調(diào)查報(bào)告稱,宏碁、華碩、戴爾、惠普和聯(lián)想筆記本預(yù)裝的軟件更新工具,均包含有至少一處危急安全缺陷,黑客可以輕松利用這些缺陷興風(fēng)作浪。Duo Labs在所有PC廠商預(yù)裝的軟件中發(fā)現(xiàn)12處不同的安全缺陷。
PC廠商預(yù)裝軟件包括對(duì)產(chǎn)品注冊(cè)的軟件以及讓用戶免費(fèi)試用30天的軟件,它們通常被稱為膨脹件,因?yàn)樗鼈兓旧蠜](méi)有什么用途,也不是應(yīng)用戶要求安裝的。據(jù)Duo Labs稱,膨脹件不僅是多余的,還經(jīng)常成為安全鏈條上的薄弱環(huán)節(jié)。
安全研究人員達(dá)倫·肯普(Darren Kemp)周二發(fā)表博文稱,“黑客利用大多數(shù)這些缺陷興風(fēng)作浪的難度不高。”
Duo Labs的調(diào)查突顯了非必要軟件的風(fēng)險(xiǎn)。用戶很少使用,甚至不知道筆記本上安裝有這些軟件,它們通常不會(huì)得到及時(shí)更新,很容易成為黑客攻擊的靶子。報(bào)告指出,PC廠商還沒(méi)有在這些更新工具中采取基本的安全措施。膨脹件不僅僅令人討厭,還會(huì)帶來(lái)安全風(fēng)險(xiǎn)。
報(bào)告稱,真正讓人沮喪的是,筆記本用戶對(duì)于由廠商更新工具造成的安全缺陷基本上無(wú)計(jì)可施,消除這些安全風(fēng)險(xiǎn)需要大量時(shí)間和精力:研究團(tuán)隊(duì)建議用戶清除OEM系統(tǒng),重新安裝沒(méi)有膨脹件的Windows拷貝,卸載任何不必要的軟件。
Duo Labs已經(jīng)向PC廠商通報(bào)了它們軟件中的缺陷,部分缺陷已經(jīng)被修復(fù)。Duo Labs之所以選擇研究這些品牌,是因?yàn)樗鼈兊漠a(chǎn)品受到用戶青睞。Duo Labs稱,在許多情況下,使用OEM更新工具中的加密技術(shù),能提高缺陷被黑客利用的難度。
Duo Labs稱,惠普已經(jīng)修正了其更新工具中的高風(fēng)險(xiǎn)缺陷,聯(lián)想將發(fā)布更新包,卸載旗下所有筆記本中的問(wèn)題軟件。宏碁和華碩承認(rèn)它們的產(chǎn)品存在缺陷,但尚未發(fā)布補(bǔ)丁軟件。在Duo Labs接洽前,戴爾就發(fā)布了一款更新包,修正其產(chǎn)品存在的多個(gè)缺陷。