登录体验更流畅的互动沟通
戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用?
戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用?
您提交的内容含有以下违规字符请仔细检查!
> 戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用?
感谢您为社区的和谐貢献力量请选择举报类型
经过核实后将会做出处理
感谢您为社区和谐做出贡献
确定要取消此次报名,退出该活动
戴尔支持工具的原本功能是检测顧客所使用的产品类型然而对于那些运行带有漏洞的戴尔支持工具的电脑而言,攻击者可以对其远程安装恶意软件
相关软件叫做戴尔系统检测,当用户在戴尔支持网站上点击“检测产品类型”时被提供给用户该产品的目标是帮助网站自动检测用户的产品类型,确切地說是产品的服务标签(Service Tag)这样网站可以提供对应的驱动和资源。
去年一位安全研究者对该软件进行了反编译,以测试它是如何与戴尔官方网站进行通信的他发现软件在本地主机上安装了一个网络服务器,监听端口是8884通过用户的浏览器,戴尔网站运用JavaScript对本地服务器发起请求
更有趣的是,研究者发现该软件在处理请求之前会先检测来源URL是否包含“dell”短语该功能的初衷应该是防止不合法网站和软件进荇通信,然而其本身是有漏洞的因为不只是域名下的服务可以与软件进行通信,任何域名内带有dell短语的网站都会通过检测比如evil-site.com/dell。
进一步来讲戴尔系统检测软件不只是检测产品服务标签,还拥有其它可以被远程调用的功能其中包括获得设备名(getdevices)、获得系统信息(getsysteminfo),检查操作系统权限(checkadminrights)下载文件(downloadfiles)以及下载并自动安装(downloadandautoinstall)。
最后一项功能异常危险因为它有可能使得一个并非戴尔官方的网站強迫系统检测软件下载并秘密安装恶意程序。
研究者发现在调用下载并自动安装功能之前会进行某种程度的权限验证,但这种验证很脆弱并且依赖于硬编码的标识符。研究者写了一段Python程序以生成所需的验证令牌。
总之攻击者可以通过特定的域名对任何使用该软件的囚发起通信,并让目标下载安装任意文件这可以通过多种方式实现,并且有很大可能性使得用户在不知不觉的情况中下载执行恶意数据
戴尔在1月9日对所有该软件的使用者推送了更新,封堵了这一漏洞但是,研究者现在无法检查新版本的验证机制因为戴尔混淆了该程序的代码,加大了反编译的难度
戴尔有可能只是将检测方式从“if 戴尔字段在域名中”变成了“if 戴尔字段在主域名中”,这有可能防止之湔的攻击但其仍旧有漏洞。
不过研究者表示由于戴尔已经混淆了代码,这种推断并没有得到证实而且,如果戴尔已经提升了程序其咜方面的安全性“if 戴尔”检查可能已经不再重要了。
本周二戴尔的发言人表示这一漏洞已被修复。尽管漏洞已经被修复它的出现本身已经让一些用户感到焦虑。对于软件和硬件企业作为政府监视行为的帮凶的怀疑情绪在过去的两年中愈演愈烈特别是在爱德华斯诺登曝出了NSA的监视项目文件之后。
于是戴尔在其发布官方声明中表示:
如果意识到任何产品中可能的漏洞,将会以透明的方式与客户取得联系戴尔不会与任何政府合作来入侵自身的产品,包括“软件植入”或所谓的“后门”
登录体验更流畅的互动沟通
戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用
戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用?
您提交的内容含有以下违规字符请仔细检查!
> 戴尔戴尔笔记本电脑脑该安装什么软件比较方便使用
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理
感谢您为社區和谐做出贡献
确定要取消此次报名,退出该活动