מחקר: לפטופים של יצרניות מובילות מכילים פרצות אבטחה חמורות

מחקר של חברת הסייבר Duo Security שפורסם אתמול חשף שמחשבים ניידים מתוצרת HP, Dell, לנובו, אייסר ואסוס משווקים עם תוכנות מותקנות מראש שמכילות פרצות אבטחה חמורות. המחקר הצביע על שני מוקדים בעייתיים: תוכנות עדכון מובנות וכן תוכנות שמותקנות עם רשיונות הדגמה ל-30 יום ניסיון מסוגים שונים. החוקרים הצביעו על כ-12 תוכנות OEM (תוכנות שמותקנות מראש על ידי היצרן) שמכילות את הבעיות האלה.

בין התוכנות ניתן למצוא גם את תוכנות רישום המוצר שמשמשות לעדכון פרטי המחשב אצל היצרן לאחר הרכישה. משתמשים נדרשים להפעיל אותן על מנת להפעיל את האחריות על המחשב החדש. אך לא רק תוכנות רשמיות מכילות את הפרצות האלה. החוקרים מזהירים שלא רק שתוכנות אלה אינן נדרשות להפעלה תקינה של הלפטופ - אלא שהן מעמידות את המשתמש בסכנה מכיוון שהן מהוות את החוליה החלשה במערך האבטחה של המחשב.

"רמת התחכום הנדרשת על ידי האקרים לניצול הפרצות האלה היא נמוכה מאוד", כתבו החוקרים בבלוג החברה אתמול (ג'). החוקרים גם מאשימים את היצרנים בכך שהם לא דואגים לאבטח כהלכה את כלי העדכון המובנים במחשבים. אלה משמשים לעדכון תוכנות הפעלה כגון דרייברים.

החדשות הרעות באמת הן שלרוב המשתמשים אין מה לעשות על מנת לחסום את הפרצות, למעט פרמוט מחדש של המחשב והתקנה של גרסה נקייה של ווינדוס. החברה דיווחה על הפרצות לכל החברות בהן הן התגלו, אך החוקרים מודים שהשמות שבחרו לפרסם הם אלה של היצרניות המוכרות יותר, מסיבות מובנות. אין כל מניעה שפרצות מעין אלה יופיעו גם במחשבים של יצרנים קטנים יותר.

Dell כבר טיפלה בבעיה עוד לפני שהחוקרים דיווחו עליה לחברה. HP גם היא טיפלה בפרצות ולנובו כבר הודיעה על שחרור שורה של עידכונים, אך אייסר ואסוס לא הגיבו לנושא ולא ברור האם הוא טופל. זו אינה הפעם הראשונה שמתגלות פרצות אבטחה במחשבים שמקורם בתוכנות צד שלישי, זכורה היטב פרשת תוכנת סופרפיש הישראלית שהותקנה מראש על מחשביה של לנובו והתגלתה כמקור לדליפת מידע.