I tool preinstallati degli OEM? Pieni di falle di sicurezza

Giu 03, 2016 Marco Schiaffino Approfondimenti, Mercato, News, Prodotto, Scenario, Tecnologia, Vulnerabilità 0

---

Inutili, fastidiosi e a volte anche pericolosi. I programmi preinstallati dai produttori sono una delle più grandi seccature che ci si ritrova quando si compra un computer nuovo. Impegnano risorse, rallentano l’avvio e, di solito, servono a poco o nulla.

Una ricerca di Duo Labs, però, mette in luce un altro difetto dei tool preinstallati: sono un colabrodo per quanto riguarda la sicurezza.

Il caso di Superfish, l’adware incluso nei tool preinstallati sui computer Lenovo, è solo una degli esempi più eclatanti di quello che può succedere quando l’ossessione per la fornitura di servizi “chiavi in mano” prende troppo la mano.

A finire nel mirino sono in particolare i sistemi di aggiornamento, sul quale si sono concentrati gli analisti nella redazione di un corposo e dettagliato report che ha messo sotto la lente di ingrandimento i tool forniti da cinque dei maggiori produttori di computer: Acer; Asus; Dell; Lenovo e HP.

 

Perché proprio gli updater? Secondo Darren Kemp, Chris Czub e Mikhail Davidov, i sistemi di aggiornamento dei software rappresentano un vero buco nero nel perimetro di sicurezza. Eventuali vulnerabilità, infatti, permettono l’esecuzione di codice in remoto e consentono di compromettere il sistema in una manciata di secondi.

A rendere particolarmente vulnerabili gli updater sono vari fattori. Il primo riguarda un’incomprensibile leggerezza nell’implementare il protocollo TLS, che permetterebbe di garantire un’adeguata protezione contro attacchi del tipo “Man In The Middle”.

In secondo luogo, emerge una certa leggerezza nel prevedere un sistema rigoroso di verifica dell’autenticità degli aggiornamenti stessi.

L’analisi di Duo Labs non punta tanto a individuare specifiche vulnerabilità, sempre possibili in qualsiasi software, quanto all’applicazione di quelle “best practices” che dovrebbero essere considerate indispensabili nella gestione di una funzione particolarmente “sensibile” come gli aggiornamenti.

Tra i produttori presi in considerazione, quello che ne esce meglio è Dell, l’unico per esempio a utilizzare una connessione sicura per le comunicazioni relative alla disponibilità degli aggiornamenti.

Guardando agli altri, il panorama è sconsolante. I sistemi di comunicazione e di verifica dell’integrità degli aggiornamenti, in particolare, lasciano molto a desiderare. Soprattutto perché molti dei produttori utilizzano più di un sistema di aggiornamento e il sistema secondario, in alcuni casi, compromette il livello di sicurezza garantito da quello primario.

Il caso di Lenovo spiega perfettamente il meccanismo: mentre il Lenovo Solution Center 3.1.001 integra tutti gli accorgimenti che permettono di ridurre il rischio di attacchi, il Lenovo UpdateAgent 1.0.0.4 è un vero colabrodo.

03Chi fa peggio di tutti, però, è Asus. Il suo Asus Live Update non ha alcun sistema di protezione e, giusto per peggiorare la situazione, viene utilizzato anche per l’aggiornamento del BIOS.

La procedura per gli aggiornamenti, ad esempio, prevede l’invio del file Manifest (quello che contiene la descrizione degli aggiornamenti) tramite la normale connessione http, esponendo quindi il file a un attacco MITM (Man In The Middle) che ne consentirebbe la modifica.

Oltre tutto, la procedura prevede che se l’aggiornamento è contrassegnato come “critico”, il suo avvio non richiede alcuna autorizzazione da parte dell’utente. Una vera manna per un pirata informatico che riuscisse a intervenire sul contenuto degli update.

Acer non fa molto meglio. L’Acer Care Center Live Update punta tutto sulla certificazione dei pacchetti d’installazione ma, secondo Duo Labs, il sistema sconta una falla che ne pregiudica l’efficacia.

L’anello debole, ancora una volta, è il file Manifest, che può essere modificato per fare in modo di aggirare la validazione dell’eseguibile, consentendo di conseguenza l’installazione di qualsiasi codice, per di più senza che venga richiesta l’autorizzazione dell’amministratore.

Un discorso a parte vale per HP. Il sistema di aggiornamento adotta un sistema di comunicazione crittografato e implementa politiche di validazione dei file eseguibili scaricati tramite gli aggiornamenti.

Il problema però è che sulle macchine Hewlett-Packard viene installato HP Support Solutions Framework (HPSSF), un pacchetto che consente di aggiornare automaticamente software, driver e BIOS del produttore, ripristinare le unità di memoria e comunicare con il supporto HP.

Insomma: un ecosistema monumentale con talmente tante funzioni e strumenti che, potenzialmente, offre fin troppe opportunità per fare breccia nel sistema. Gli analisti di Duo Labs, non a caso, hanno ammesso nel loro report di aver rinunciato a cercare di trovare vulnerabilità in ognuno di essi.

Le vulnerabilità riportare nello studio di Duo Labs, nella maggior parte dei casi, prevedono però uno scenario in cui la violazione del sistema deriva da eseguibili che possono vantare un certificato firmato da HP o, per lo meno, la possibilità di comunicare con gli updater millantando un’origine riconducibile a un dominio HP.

Insomma: per poter compromettere le macchine Hewlett-Packard un pirata dovrebbe prima in qualche modo violare i sistemi del produttore o, per lo meno, mettere in atto un redirect che gli consenta di inviare richieste che apparentemente provengono dai server dello stesso.

Abbastanza sicuro? Secondo gli analisti di Duo Labs, in rete ci sarebbero circa 600.000 sottodomini hp.com, molti dei quali sarebbero pressoché inutilizzati. L’ipotesi di un hacking, quindi, non sarebbe così peregrina.

---

---

---