In der letzten Woche gab es bereits eine Studie von Duo Labs, die sich die vorinstallierten Software-Pakete verschiedener Hersteller angeschaut hatten und dabei zu dem Schluss kamen, das die meisten Hersteller (Asus, Acer, Dell, HP und Lenovo ) Sicherheitsprobleme hatten. Sehr oft war es dabei die Software, mit der automatisch das System auf dem neusten Stand gehalten werden soll, die Lücken aufwies.
Das dies nicht nur ein theoretisches Problem ist, zeigt nun ein neuer Blogbeitrag, in dem gezeigt wird, wie schnell und einfach man einem ASUS System ein falsches Update unterschieden kann – zumindest in offenen Netzwerken scheint die Gefahr daher gegeben zu sein. ASUS ruft die Updates dabei über eine normale HTTP Verbindung ab, es wird dabei nicht geprüft oder abgesichert, ob die Daten auch wirklich von ASUS kommen. Man kann daher mit relativ wenig Aufwand dem System ein falsches Update unterschieben, in dem man die Verbindung entsprechend manipuliert.
In Blog-Beitrag dazu heißt es:
ASUS’ LiveUpdate software is preinstalled on computers shipped by ASUS. It is responsible for delivering updates, new versions of the BIOS/UEFI Firmware and executables for use with ASUS software. Content is delivered via ZIP archives over plain HTTP, extracted into a temporary directory and an executable run as a user in the “Administrators” NT group (“Highest Permissions” task scheduler). There is no verification or authentication of source or content at any point in this process, allowing trivial escalation to
NT AUTHORITY\SYSTEM.
Bisher scheint diese Sicherheitslücke noch nicht ausgenutzt zu werden. Es gibt aber auch noch keinen Patch oder ein Statement von ASUS dazu. Bleibt daher zu hoffen, das ASUS schneller reagiert als die Macher von passender Malware.
Andere Anbieter waren da im Übrigen fleißiger. HP hat bereits sieben Sicherheitslücken geschlossen und DELL ebenfalls bereits einige Schwachstellen ausgemerzt. Lenovo will in den nächsten Wochen das System patschen.
Zuletzt aktualisiert: 22. Mai 2024
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.