Asus-computers kwetsbaar door LiveUpdate-software

[Captain Kirk]

Computers van Asus zijn kwetsbaar voor aanvallers omdat de updatesoftware via een onbeveiligde verbinding bios-updates en software-updates via internet downloadt. Dat laat beveiligingsonderzoeker Morgan Gangwere weten. Op computers van Asus is standaard de LiveUpdate-software geïnstalleerd.

Via de software is het mogelijk om de bios/uefi-firmware te updaten en de andere geïnstalleerde Asus-software bij te werken. De updates worden echter via een onversleutelde http-verbinding als zip-bestand aangeleverd en met beheerdersrechten op computers uitgevoerd. Volgens de onderzoeker wordt de inhoud op geen enkel moment geverifieerd. Daardoor kan een aanvaller die zich tussen de gebruiker en het internet bevindt kwaadaardige updates aanbieden en zo het systeem overnemen.

Eind april stuurde Gangwere een e-mail met zijn ontdekking naar security@asus.com, maar die e-mail kon niet worden afgeleverd. Vervolgens besloot hij Asus begin mei via de telefoon te benaderen, maar dat lukte naar eigen zeggen ook niet. Daarop stapte de onderzoeker naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het CERT/CC probeerde Asus te bereiken, maar ook dat bleek onsuccesvol. De organisatie, die vaker een coördinerende rol tussen onderzoekers en bedrijven vervult, adviseerde toen om de ontdekking openbaar te maken, wat Gangwere nu heeft gedaan.

 

bron: security.nl