Nieuws

Asus-computers kwetsbaar door LiveUpdate-software

maandag 6 juni 2016, 10:06 door Redactie, 12 reacties

Computers van Asus zijn kwetsbaar voor aanvallers omdat de updatesoftware via een onbeveiligde verbinding bios-updates en software-updates via internet downloadt. Dat laat beveiligingsonderzoeker Morgan Gangwere weten. Op computers van Asus is standaard de LiveUpdate-software geïnstalleerd.

Via de software is het mogelijk om de bios/uefi-firmware te updaten en de andere geïnstalleerde Asus-software bij te werken. De updates worden echter via een onversleutelde http-verbinding als zip-bestand aangeleverd en met beheerdersrechten op computers uitgevoerd. Volgens de onderzoeker wordt de inhoud op geen enkel moment geverifieerd. Daardoor kan een aanvaller die zich tussen de gebruiker en het internet bevindt kwaadaardige updates aanbieden en zo het systeem overnemen.

Eind april stuurde Gangwere een e-mail met zijn ontdekking naar security@asus.com, maar die e-mail kon niet worden afgeleverd. Vervolgens besloot hij Asus begin mei via de telefoon te benaderen, maar dat lukte naar eigen zeggen ook niet. Daarop stapte de onderzoeker naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het CERT/CC probeerde Asus te bereiken, maar ook dat bleek onsuccesvol. De organisatie, die vaker een coördinerende rol tussen onderzoekers en bedrijven vervult, adviseerde toen om de ontdekking openbaar te maken, wat Gangwere nu heeft gedaan.

AP tikt gemeente op vingers wegens publicatie 'wietadressen'

Hacker claimt diefstal 171 miljoen gebruikersaccounts VK.com

Reacties (12)

06-06-2016, 11:33 door Anoniem

Zeer slechte zaak van ASUS. Mijn persoonlijke ervaringen met ASUS zijn ook zeer onaangenaam. Productondersteuning is echt om te janken. Vrij recentlijk 2500 euro aan een monitor en grafische kaart uitgegeven. De bijgeleverde monitor kabel zorgde voor problemen omdat deze niet DP1.2. certified was. Kosten proberen te verhalen maar tevergeefs. De gratis (1-jaar) X-split licentie bij de grafische kaart kon ik niet verzilveren omdat er een speciale code nodig was (die op het PCI-bracket staat en deze niet kon zien (alleen wanneer ik de grafische keert zou loskoppelen). Dit was niet duidelijk vermeldt in de handleiding of op de doos. Ik ga niet met alle risico's van dien de grafische kaart weer uitbouwen puur voor een code.
Via de Nederlandse ASUS-support geprobeerd om alsnog een x-split code te krijgen, maar ook daar geen medewerking.
Op verzoek toen mijn melding laten escalleren naar het management maar tot op heden helemaal niets meer van ASUS vernomen. Daar leg je dan zoveel geld neer.

06-06-2016, 11:41 door Anoniem

Daar moeten bedrijven echt mee stoppen, met standaard geïnstalleerde software >_>

06-06-2016, 11:44 door Anoniem

Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.

06-06-2016, 11:57 door Anoniem

Zijn dit zulke schokkende zaken? Dan weet ik ook nog wel een paar grote namen welke updates of installatie-bestanden over HTTP binnen trekken zonder dat deze gesigneerd zijn. Af en toe checken ze een hash maar.... die kwam ook over http :-)

06-06-2016, 14:03 door Anoniem

Door Anoniem: Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.

Klopt, daarom geen OEMs meer, geen Windows-doosjes, maar Linux. Daar vind je die troep sowieso niet in je OS.

06-06-2016, 14:40 door Anoniem

Apple stuurt ook alle (systeem) updates over HTTP (osxapps.itunes.apple.com), echter zijn de bundles wel gesigned. Melding van gemaakt, maar 'works as designed'...

06-06-2016, 14:43 door Anoniem

Door Anoniem: Zeer slechte zaak van ASUS. Mijn persoonlijke ervaringen met ASUS zijn ook zeer onaangenaam. Productondersteuning is echt om te janken. Vrij recentlijk 2500 euro aan een monitor en grafische kaart uitgegeven. De bijgeleverde monitor kabel zorgde voor problemen omdat deze niet DP1.2. certified was. Kosten proberen te verhalen maar tevergeefs. De gratis (1-jaar) X-split licentie bij de grafische kaart kon ik niet verzilveren omdat er een speciale code nodig was (die op het PCI-bracket staat en deze niet kon zien (alleen wanneer ik de grafische keert zou loskoppelen). Dit was niet duidelijk vermeldt in de handleiding of op de doos. Ik ga niet met alle risico's van dien de grafische kaart weer uitbouwen puur voor een code.
Via de Nederlandse ASUS-support geprobeerd om alsnog een x-split code te krijgen, maar ook daar geen medewerking.
Op verzoek toen mijn melding laten escalleren naar het management maar tot op heden helemaal niets meer van ASUS vernomen. Daar leg je dan zoveel geld neer.

Ik deel deze ervaring echter zeker niet...
Ook weet ik niet van een Predator (4k-)monitor die zónder DP1.2-kabel geleverd wordt... Ik heb er zelf twee van anderhalf jaar oud...
Wat je noemt van de x-split licentie is van beiden kanten knullig... maar ik heb nog nooit een van mijn bijgesloten licentiecodes op een PCI-bracket terug mogen vinden, noch heeft een google-zoekopdracht gelijkbare ervaringen mogen blootleggen...
Daarnaast; Er is géén noemenswaardig risico bij het in-/uitbouwen van een GPU... als je kundig genoeg bent om die kast open te schroeven... wat het kopen van losse onderdelen impliceert...

Tezamen klinkt dit eigenlijk als een behoorlijke berg kul, sorry.
Ik koop al jaren bergen hardware als GPU's en hoofdzakelijk (Workstation-) Moederborden van ASUS en betreur dit nieuws ook ten zeerste, maar ongefundeerde dingen lopen schreeuwen doe je maar lekker op telegraaf.nl ... (Wegens gebrek aan refereerbare overeenkomende feiten)

06-06-2016, 14:50 door Anoniem

Ook wat betreft Linux moet ik de eerste OS repo nog tegenkomen die TLS gebruikt. Maar wellicht zijn zij afhankelijk van de mirror hosters? Of kunnen ze het duidelijker zichtbaar maken in de Update Manager, of een mirror HTTP of HTTPS gebruikt? Dan is er voor de mirrors ook een incentive om er wat aan te doen.

06-06-2016, 15:16 door Anoniem

Door Anoniem: Zijn dit zulke schokkende zaken? Dan weet ik ook nog wel een paar grote namen welke updates of installatie-bestanden over HTTP binnen trekken zonder dat deze gesigneerd zijn. Af en toe checken ze een hash maar.... die kwam ook over http :-)

Two wrongs don't make a right. Ieder bedrijf in de 21e eeuw die zijn firmware updates niet encrypt en authenticeert begrijpt het niet. Zeker niet met een PC die internetconnectie heeft. Voor mij een reden om naar een andere moederbord fabrikant te kijken.

06-06-2016, 21:43 door Anoniem

Door Anoniem: Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.

Ik ben bang dat B Gates hier helemaal niks aan kan doen. Asus en niet B Gates maakt er een zootje van.

07-06-2016, 06:44 door Anoniem

@14:50 Anoniem: Kunt U het misschien herhalen in begrijpelijk Nederlands?

07-06-2016, 08:44 door Anoniem

Door Anoniem:

Ik heb geen predator. Heb een PG348Q 3440x1440 100HZ. Meer mensen op het overclock-forum klagen over de meegeleverde kabel van 3-dollar. De meegeleverde kabel is dus niet goed en zorgt voor allerlei issues.
voor de XSPLIT-licentie zijn er twee codes blijkbaar nodig. Een serie-nummer en een PPID-code. Serie-nummer staat op de doos en een sticker op de backplate van de 980ti-matrix. De PPID-code is enkel terug te vinden op de rand van het PCI-Bracket. Die code kan je alleen zien mits je de kaart weer loskoppel en er uit haalt. Ik heb een vervelende kast wat de inbouw en uitbouw van zo'n kaart niet makkelijk maakt. Dit zijn refereerbare overeenkomende feiten. Bovendien heeft ASUS hier nergens op geattendeerd. Niet op de doos, niet in de handleiding. ASUS gaat hier niet coulant mee om.

Kabel wordt niet vergoed en krijg niet gewoon een xplit-licentie code. Ik vind dat gewoon een kwalijke zaak. Zo ga je in mijn ogen niet om met een klant die 2500 euro aan ASUS-spul heeft uitgegeven.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Asus-computers kwetsbaar door LiveUpdate-software

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren