Firma zajmująca się bezpieczeństwem firmware'u, Eclypsium, wykryła coś, co określiła jako podejrzane zachowanie przypominające backdoora w płytach głównych Gigabyte dostępnych na rynku. Dalsza analiza wykazała, że Gigabyte używa kodu w oprogramowaniu płyty głównej do cichego uruchamiania programu aktualizującego, który łączy się z Internetem w celu pobrania, a następnie zainstalowania aktualizacji firmware'u.
Ukryty backdoor
Na pierwszy rzut oka może nie brzmi to tak poważnie, ale niektórzy mogą nawet przyklasnąć Gigabyte za chęć zapewnienia użytkownikom najnowszego firmware'u, ale trzeba wskazać tu też pewne problemy z działaniem firmy. Według Eclypsium kod jest pobierany na komputery użytkowników bez odpowiedniego uwierzytelnienia. Co więcej, czasami pobieranie odbywa się za pośrednictwem protokołu HTTP zamiast bezpieczniejszego HTTPS, co może narazić użytkowników na atak typu „man in the middle”.
Ukryty backdoor może pozwolić hakerom na zainstalowanie złośliwego oprogramowania w systemie użytkownika.
Eclypsium odkryło również, że aktualizator może pobierać aktualizacje oprogramowania układowego z urządzenia NAS w sieci lokalnej. Haker może w podobny sposób sfałszować serwer NAS i zainfekować ofiarę oprogramowaniem szpiegującym.
Istnieje również szansa, że działania Gigabyte po prostu odbiją się użytkownikom ich płyt czkawką, nawet jeśli producent miał dobre intencje. Tym bardziej że używa on ukrytego mechanizmu do cichego pobierania i instalowania kodu z Internetu bez naszej wiedzy i zgody.
Część osób może argumentować, że to nic takiego, a firmy technologiczne cały czas wydają aktualizacje oprogramowania układowego. Osobiście nie byłbym jednak zachwycony, gdyby firma aktualizowała firmware mojej płyty głównej bez mojej zgody. Co się stanie, jeśli nowe oprogramowanie układowe nie będzie kompatybilne z moim sprzętem lub zepsuje moje ustawienia OC?
Backdoor w ponad 260 płytach głównych Gigabyte
Eclypsium powiedziało, że współpracuje z Gigabyte w celu rozwiązania niezabezpieczonej implementacji tej funkcji. Firma znalazła backdoora na ponad 260 płytach głównych Gigabyte. Jak to działa? Po każdym ponownym uruchomieniu systemu fragment kodu w firmwarze uruchamia program aktualizujący, który łączy się z Internetem w celu sprawdzenia i pobrania najnowszego oprogramowania układowego dla płyty głównej. Eclypsium oceniło, że implementacja Gigabyte jest niebezpieczna, a cyberprzestępcy mogą wykorzystać exploita do zainstalowania złośliwego oprogramowania w systemie ofiary. Duży problem polega na tym, że program aktualizujący znajduje się w firmwarze płyty głównej, więc konsumenci nie mogą go łatwo usunąć.
Gigabyte nie jest jedynym producentem, który korzysta z tego typu programów w celu ułatwienia aktualizacji oprogramowania układowego. Inni producenci płyt głównych stosują podobną metodę, co rodzi pytanie, czy któraś z nich jest bezpieczna. Na przykład oprogramowanie Armoury Crate firmy Asus działa podobnie do App Center firmy Gigabyte. Zgodnie z ustaleniami Eclypsium, program aktualizujący Gigabyte wysyła ping do trzech różnych witryn w celu aktualizacji oprogramowania układowego:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Użytkownicy płyt Gigabyte są również zachęcani do sprawdzania UEFI/BIOS pod kątem funkcji pobierania i instalowania App Center oraz wyłączania jej, jeśli taka opcja istnieje. Przeskanowanie systemu w poszukiwaniu złośliwego oprogramowania może nie być złym pomysłem.
Pokaż / Dodaj komentarze do: Odkryto backdoor w firmwarze płyt głównych od Gigabyte. Setki modeli zagrożone