Notebookcheck

SupportAssist – ахиллесова пята ноутбуков Dell

Dell действительно дала маху в этом вопросе. (Изображение: Dell)
Dell действительно дала маху в этом вопросе. (Изображение: Dell)
Dell почти 6 месяцев умалчивала о критической уязвимости SupportAssist пока техноэнтузиаст по безопасности сам не сообщил о проблеме в компанию. Если у вас установлено это программное обеспечение, то, скорее всего, ваш ноутбук станет лёгкой добычей для злоумышленников, пока вы не обновите SupportAssist.

Если у вас есть ноутбук Dell и программа SupportAssist, то приостановите свою работу и проверьте, какая версия данного ПО на нём установлена. Если номер версии более ранний чем 3.2.0.90, срочно загрузите последнее обновление, либо вовсе избавьтесь от данной программы.

В чём же дело? Выяснилось, что SupportAssist был уязвим для действий злоумышленников долгое время, а Dell смогла исправить ситуацию лишь сейчас. И это при том, что компания продвигает «первую в отрасли технологию автоматической прогнозирующей поддержки», разработанную для «проактивной проверки работоспособности аппаратного и программного обеспечения вашей системы». Важно отметить, что производитель устанавливает SupportAssist «преимущественно на новые» устройства, а по данным Bloomberg, в начале этого года доход Dell составил 10,9 миллиардов долларов. Сложив одно с другим получаем, что SupportAssist был установлен на миллионах компьютеров.

Все заслуги по обнаружению и обнародованию проблемы принадлежат 17-летнему Биллу Демиркапи (Bill Demirkapi), который и сообщил об уязвимости ПО и самой Dell. На страничке @BillDemirkapi в Twitter и в его блоге подробно описан этот вопрос.

Обнаруженная проблема безопасности связана с тем, как SupportAssist взаимодействует с веб-сайтом поддержки Dell при поиске и установке новых драйверов. Dell обеспечила автоматическую загрузку и установку драйверов, файлы которых можно перехватить, или даже заменить на свои собственные вредоносные программы, а SupportAssist, не заметив подвоха, автоматически установит их. Демиркапи в доказательство своей теории выпустил видео, которое вы можете просмотреть ниже, в то время как Dell наконец-то создала обновление с исправлением проблем уязвимости.

Плохо даже не то, что подросток обнаружил уязвимость в безопасности ПО большой компании, а то, что Dell шесть месяцев умалчивала о проблеме, хотя первое сообщение поступило им 26 октября 2018 года. Вот хронология событий, предоставленная самим Демаркапи в его блоге:

  • 26.10.2018 - Первое сообщение о проблеме отправлено ​​в Dell.
  • 29.10.2018 - Первый ответ от Dell.
  • 22.11.2018 - Dell подтвердила наличие уязвимости.
  • 29.11.2018 - Dell пообещала выпустить «экспериментальное» обновление в первом квартале 2019 года.
  • 29.01.2019 - Дата публичного уведомления о проблеме (и выпуска обновления) перенесена на март.
  • 13.03.2019 - Dell всё ещё исправляет уязвимость и планирует рассказать о ней в конце апреля.
  • 18.04.2019 - Dell  выпустила рекомендованное обновление.

Для более подробного ознакомления с внутренней подоплёкой проблемы посмотрите видеозапись ниже или непосредственно блог самого Демиркапи. Dell действительно дала маху в этом вопросе. 

Источник(и)

'
Please share our article, every link counts!
> Обзоры Ноутбуков, Смартфонов, Планшетов. Тесты и Новости > Новости > Архив новостей > Архив новостей за 2019 05 > SupportAssist – ахиллесова пята ноутбуков Dell
Alex Alderson, 2019-05- 3 (Update: 2019-05- 3)