预装在所有华硕电脑上的华硕LiveUpdate软件通过明文HTTP下载关键的BIOS和UEFI更新,且不会验证这些更新的源或有效性。
LiveUpdate工具包即膨胀软件或垃圾邮件,它是预装在用户首次启动电脑时便已存在在电脑中的软件。很少有人会注意到该软件的存在,大多数人认为此类软件的出现天经地义,只因为这是笔记本电脑制造商提供的。但安全研究员Morgan Gangware指出,对于华硕用户来讲,华硕的官方“膨胀软件”并没有使用安全机制来传播更新。
用户易受中间人攻击
安装在华硕设备上的LiveUpdate功能会搜索华硕服务器以找出通过未经加密的HTTP请求来传播的更新。而HTTP请求易于被拦截并被欺骗。华硕服务器会通过被混淆的XML文件以HTTP回应这些查询。而XML文件也易被逆向工程并被复制。
华硕LiveUpdate并不会验证从服务器中接收到的回应是否有效,而且它还会在未验证软件来源或内容的前提下安装所有所接收到的软件。
更新进程以管理员权限运行
该安装进程是在管理员账户的授权下进行的,这一点跟软件更新工具并无二致。由于LiveUpdate能够传播USB驱动、BIOS/UEFI固件,攻击者只需要耐心等待用户的笔记本电脑搜索更新便可传播恶意代码。攻击者甚至无需修改低级别的固件代码,因为更新进程会启动任何东西,包括监控软件、后门、远程访问木马等等。
最新的华硕LiveUpdate工具版本是v3.3.4,发布于2015年7月份。上周,联想程序加速器(Accelerator驱动)更新也面临着类似问题。不过联想并没有推出任何安全更新,而是建议用户直接卸载。