Un estudio de Duo Security, Inc sugiere que los Actualizadores OEM, programas diseñados por los fabricantes de PC para actualizar el software específico del proveedor, hacen más daño que bien, ya que ponen en riesgo las PC.
Las computadoras de escritorio, portátiles y tabletas preconstruidas se envían con un conjunto de aplicaciones y programas agregados la mayoría de las veces. Comúnmente conocidos como crapware, estos programas agregan poco valor al sistema y, a menudo, se componen de versiones de prueba, accesos directos y programas creados por el fabricante del dispositivo.
Los fabricantes los agregan en parte para ganar dinero, pero también para impulsar sus aplicaciones de software en los dispositivos.
El pasado ha demostrado que el contenido agregado puede no solo ser una molestia para los usuarios, sino que también puede poner en riesgo la computadora.
El análisis de Duo Security de los programas de actualización por parte de los fabricantes de equipos originales apunta a algo más. La compañía concluyó que cada actualizador que analizó tenía al menos una vulnerabilidad que permitía que la ejecución remota de código comprometiera completamente la máquina.
La compañía examinó dispositivos de Acer, Asus, Dell, Hewlett-Packard y Lenovo y encontró un total de 12 vulnerabilidades en todos los programas de actualización. Observó principalmente al hombre en los ataques intermedios y las superficies de ataque remotas.
Los problemas centrales encontrados fueron los siguientes:
- Todos los dispositivos se envían al menos con un actualizador preinstalado que es vulnerable a los ataques.
- Estos programas a menudo no pudieron hacer uso de TLS, actualizar las validaciones de integridad o autenticidad del contenido del manifiesto de actualización.
- Algunos proveedores utilizan varios programas para actualizar el software, y algunos suelen ser más seguros que otros.
- Explotar las vulnerabilidades es trivial según los investigadores.
Todos los proveedores, con la excepción de Dell, transfirieron archivos de manifiesto a través de HTTP. Además, Acer y Asus no transfieren archivos a través de HTTPS en absoluto, mientras que Dell y HP lo hicieron. Lenovo fue la única empresa en la prueba que tenía un programa que no usaba ninguna conexión HTTPS y otro que admitía HTTPS y lo usaba.
No usar HTTPS para transferencias es una mala práctica por razones obvias. Dado que la mayoría de los fabricantes utilizan HTTP al transferir archivos de manifiesto, que se utiliza para informar al sistema de actualizaciones, es bastante fácil para los atacantes manipular esos archivos. Esto, a su vez, hace que las comprobaciones de integridad sean inútiles, ya que es imposible verificar la integridad de los archivos o actualizaciones si no se puede verificar la autenticidad del archivo de manifiesto.
El documento de investigación completo, Out-of-Box Exploitation of OEM Updaters, es disponible aquí.
Mitigación de problemas
El principal problema para los usuarios es que es poco lo que pueden hacer para mitigar los problemas encontrados en estos programas de actualización, además de eliminar estos (y otros componentes del proveedor) del dispositivo.
Aquí hay un par de sugerencias:
- Cree una copia de seguridad completa del sistema.
- Desinstale los programas de software que se enviaron con la PC y que fueron agregados por el fabricante del dispositivo, a menos que sepa que los necesita.
- La mayoría de las veces, no son necesarios para operar el sistema. Programas como Decrap o Decrapifier pueden ayudar un poco, pero generalmente no eliminan el software del proveedor.
Si está a punto de comprar una PC y no quiere construirla usted mismo, intente adquirir una Microsoft Signature Edition que se envía sin bloatware.
Palabras de cierre
Los problemas de seguridad causados por los fabricantes de PC, portátiles y otros dispositivos informáticos son un esquema recurrente y parece poco probable que la situación mejore en un futuro próximo.
Ahora tu: ¿Se sigue ejecutando software específico del proveedor en sus dispositivos?