Onderzoekers: anti-diefstalsoftware is beveiligingsrisico
Een veel gebruikt programma dat gestolen laptops en computers moet terugvinden is een serieus beveiligingsrisico, aldus onderzoekers. Het gaat om Absolute Computrace van het bedrijf Absolute Software, dat naar schatting op meer dan 2 miljoen computers is geïnstalleerd en geactiveerd.
De software bevindt zich in de BIOS van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Soms is Computrace geïnstalleerd zonder dat gebruikers dit weten. Onderzoekers van Kaspersky Lab ontdekten dat de software het mogelijk maakt om laptops en desktops op afstand over te nemen.
Het netwerkprotocol dat de Computrace Small Agent gebruikt biedt namelijk de mogelijkheid voor het op afstand uitvoeren van code. Het protocol vereist geen encryptie of authenticatie van de remote server. Daardoor zijn er volgens de onderzoekers allerlei mogelijkheden om in een vijandige netwerkomgeving op afstand aanvallen uit te voeren.
Spyware
"Partijen die glasvezelkabels kunnen aftappen kunnen in potentie computers kapen die Absolute Computrace draaien. Deze software kan worden gebruikt voor het installeren van spyware-implantaten", aldus onderzoeker Vitaly Kamluk. Hij merkt op dat de software op mogelijk miljoenen computers actief is, zonder dat gebruikers dit weten.
"Wie had er reden om Computrace op al die computers te activeren? Worden ze door een onbekende actor in de gaten gehouden? Dat is een mysterie dat moet worden opgelost." De meeste computers die Computrace gebruiken bevinden zich in de Verenigde Staten en Rusland. Het gaat met name om machines van Acer, Toshiba, ASUS en Dell.
Kaspersky Lab heeft geen bewijs dat Computrace ook daadwerkelijk wordt gebruikt voor het uitvoeren van aanvallen. De mogelijkheid is er echter wel. Daarbij wijzen de onderzoekers naar onverklaarde en ongeautoriseerde activaties van de Computrace software. Al in 2009 waarschuwden onderzoekers van Core Security Technologies dat een aanvaller via de anti-diefstalsoftware een gevaarlijke BIOS-rootkit op computers zou kunnen installeren.
De meeste computers die Computrace gebruiken bevinden zich in de Verenigde Staten en Rusland.
http://www.securelist.com/en/images/vlill/absolutecomputrace_13.jpg
Gezien het feit dat het geen weergave betreft van relatieve aandelen maar van absolute aantallen, is het voor de hand liggend dat de Verenigde Staten en Rusland ruim bedeeld zijn. Dat kleine landjes als Nederland en België relatief weinig computers met geactiveerde Computrace Agent hebben, dat heeft wellicht diezelfde basis.
Opvallend is echter dat ook de UK veel computers met geactiveerde Computrace Agent heeft, en China juist niet.
Nu nog een relatief simpele manier zien te vinden om een eventuele aanwezige geactiveerde Computrace Agent te deactiveren, en liefst om die software volkomen te verwijderen. Wat rondzoeken laat zien dat dat bepaald niet eenvoudig is. Uiteraard is dat zo bedoeld, maar dat betekent niet dat een koper die niet op de hoogte was van het meeïnstalleren (of zelfs het activeren) van die software daar genoegen mee zou moeten nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
