S ním můžete aktualizovat nejen ovladače,
ale také např. BIOSy. Kámen úrazu spočívá v tom, že
obsah ze serverů k počítačům putuje ve formě archivu ZIP
zcela nezabezpečeně přes protokol HTTP. Obsah archivu je rozbalen
do složky s dočasnými soubory, přičemž spustitelný soubor
je pak spuštěn s právy správce. Nedochází přitom ke
kontrole spouštěného obsahu.
Toto není skutečná kritická aktualizace. Výzkumník dokázal, že je snadné softwaru
podstrčit, co budete chtít | Foto: Morgan Gangwere
Tudíž kdyby vám někdo podstrčil modifikovaný
archiv, mohl by počítač např. napadnou virus. Nezabezpečená
komunikace k útoku man-in-the-middle vyloženě svádí.
Tento typ útoku bylo možné využít také v případě
aktualizačního procesu v softwaru od Lenova, o němž
jsme psali před pár dny. Výrobci by se vážně měli poučit.
Ideálně proto Asus LiveUpdate nepoužívejte a
odinstalujete. Podrobnosti o tom, jak funguje zmíněný
nástroj, najdete na blogu Morgana
Gangwereho. Na závěr si dovolím zopakovat doporučení
z minula: Když si koupíte počítač, úložiště
naformátujte a proveďte čistou instalaci systému. Je to možná
řešení drastické, zato funkční a poměrně snadné.
Zdroj: *indrora->mind
via TheINQUIRER
ČLÁNKY DO MAILU