image

Asus-computers kwetsbaar door LiveUpdate-software

maandag 6 juni 2016, 10:06 door Redactie, 12 reacties

Computers van Asus zijn kwetsbaar voor aanvallers omdat de updatesoftware via een onbeveiligde verbinding bios-updates en software-updates via internet downloadt. Dat laat beveiligingsonderzoeker Morgan Gangwere weten. Op computers van Asus is standaard de LiveUpdate-software geïnstalleerd.

Via de software is het mogelijk om de bios/uefi-firmware te updaten en de andere geïnstalleerde Asus-software bij te werken. De updates worden echter via een onversleutelde http-verbinding als zip-bestand aangeleverd en met beheerdersrechten op computers uitgevoerd. Volgens de onderzoeker wordt de inhoud op geen enkel moment geverifieerd. Daardoor kan een aanvaller die zich tussen de gebruiker en het internet bevindt kwaadaardige updates aanbieden en zo het systeem overnemen.

Eind april stuurde Gangwere een e-mail met zijn ontdekking naar security@asus.com, maar die e-mail kon niet worden afgeleverd. Vervolgens besloot hij Asus begin mei via de telefoon te benaderen, maar dat lukte naar eigen zeggen ook niet. Daarop stapte de onderzoeker naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het CERT/CC probeerde Asus te bereiken, maar ook dat bleek onsuccesvol. De organisatie, die vaker een coördinerende rol tussen onderzoekers en bedrijven vervult, adviseerde toen om de ontdekking openbaar te maken, wat Gangwere nu heeft gedaan.

Reacties (12)
06-06-2016, 11:33 door Anoniem
Zeer slechte zaak van ASUS. Mijn persoonlijke ervaringen met ASUS zijn ook zeer onaangenaam. Productondersteuning is echt om te janken. Vrij recentlijk 2500 euro aan een monitor en grafische kaart uitgegeven. De bijgeleverde monitor kabel zorgde voor problemen omdat deze niet DP1.2. certified was. Kosten proberen te verhalen maar tevergeefs. De gratis (1-jaar) X-split licentie bij de grafische kaart kon ik niet verzilveren omdat er een speciale code nodig was (die op het PCI-bracket staat en deze niet kon zien (alleen wanneer ik de grafische keert zou loskoppelen). Dit was niet duidelijk vermeldt in de handleiding of op de doos. Ik ga niet met alle risico's van dien de grafische kaart weer uitbouwen puur voor een code.
Via de Nederlandse ASUS-support geprobeerd om alsnog een x-split code te krijgen, maar ook daar geen medewerking.
Op verzoek toen mijn melding laten escalleren naar het management maar tot op heden helemaal niets meer van ASUS vernomen. Daar leg je dan zoveel geld neer.
06-06-2016, 11:41 door Anoniem
Daar moeten bedrijven echt mee stoppen, met standaard geïnstalleerde software >_>
06-06-2016, 11:44 door Anoniem
Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.
06-06-2016, 11:57 door Anoniem
Zijn dit zulke schokkende zaken? Dan weet ik ook nog wel een paar grote namen welke updates of installatie-bestanden over HTTP binnen trekken zonder dat deze gesigneerd zijn. Af en toe checken ze een hash maar.... die kwam ook over http :-)
06-06-2016, 14:03 door Anoniem
Door Anoniem: Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.
Klopt, daarom geen OEMs meer, geen Windows-doosjes, maar Linux. Daar vind je die troep sowieso niet in je OS.
06-06-2016, 14:40 door Anoniem
Apple stuurt ook alle (systeem) updates over HTTP (osxapps.itunes.apple.com), echter zijn de bundles wel gesigned. Melding van gemaakt, maar 'works as designed'...
06-06-2016, 14:43 door Anoniem
Door Anoniem: Zeer slechte zaak van ASUS. Mijn persoonlijke ervaringen met ASUS zijn ook zeer onaangenaam. Productondersteuning is echt om te janken. Vrij recentlijk 2500 euro aan een monitor en grafische kaart uitgegeven. De bijgeleverde monitor kabel zorgde voor problemen omdat deze niet DP1.2. certified was. Kosten proberen te verhalen maar tevergeefs. De gratis (1-jaar) X-split licentie bij de grafische kaart kon ik niet verzilveren omdat er een speciale code nodig was (die op het PCI-bracket staat en deze niet kon zien (alleen wanneer ik de grafische keert zou loskoppelen). Dit was niet duidelijk vermeldt in de handleiding of op de doos. Ik ga niet met alle risico's van dien de grafische kaart weer uitbouwen puur voor een code.
Via de Nederlandse ASUS-support geprobeerd om alsnog een x-split code te krijgen, maar ook daar geen medewerking.
Op verzoek toen mijn melding laten escalleren naar het management maar tot op heden helemaal niets meer van ASUS vernomen. Daar leg je dan zoveel geld neer.

Ik deel deze ervaring echter zeker niet...
Ook weet ik niet van een Predator (4k-)monitor die zónder DP1.2-kabel geleverd wordt... Ik heb er zelf twee van anderhalf jaar oud...
Wat je noemt van de x-split licentie is van beiden kanten knullig... maar ik heb nog nooit een van mijn bijgesloten licentiecodes op een PCI-bracket terug mogen vinden, noch heeft een google-zoekopdracht gelijkbare ervaringen mogen blootleggen...
Daarnaast; Er is géén noemenswaardig risico bij het in-/uitbouwen van een GPU... als je kundig genoeg bent om die kast open te schroeven... wat het kopen van losse onderdelen impliceert...

Tezamen klinkt dit eigenlijk als een behoorlijke berg kul, sorry.
Ik koop al jaren bergen hardware als GPU's en hoofdzakelijk (Workstation-) Moederborden van ASUS en betreur dit nieuws ook ten zeerste, maar ongefundeerde dingen lopen schreeuwen doe je maar lekker op telegraaf.nl ... (Wegens gebrek aan refereerbare overeenkomende feiten)
06-06-2016, 14:50 door Anoniem
Ook wat betreft Linux moet ik de eerste OS repo nog tegenkomen die TLS gebruikt. Maar wellicht zijn zij afhankelijk van de mirror hosters? Of kunnen ze het duidelijker zichtbaar maken in de Update Manager, of een mirror HTTP of HTTPS gebruikt? Dan is er voor de mirrors ook een incentive om er wat aan te doen.
06-06-2016, 15:16 door Anoniem
Door Anoniem: Zijn dit zulke schokkende zaken? Dan weet ik ook nog wel een paar grote namen welke updates of installatie-bestanden over HTTP binnen trekken zonder dat deze gesigneerd zijn. Af en toe checken ze een hash maar.... die kwam ook over http :-)
Two wrongs don't make a right. Ieder bedrijf in de 21e eeuw die zijn firmware updates niet encrypt en authenticeert begrijpt het niet. Zeker niet met een PC die internetconnectie heeft. Voor mij een reden om naar een andere moederbord fabrikant te kijken.
06-06-2016, 21:43 door Anoniem
Door Anoniem: Stap 1 bij na de aanschaf van een Windows computer van elk willekeurig merk: Installeer een schone versie zonder fabrikant specifieke meuk.
Ik ben bang dat B Gates hier helemaal niks aan kan doen. Asus en niet B Gates maakt er een zootje van.
07-06-2016, 06:44 door Anoniem
@14:50 Anoniem: Kunt U het misschien herhalen in begrijpelijk Nederlands?
07-06-2016, 08:44 door Anoniem
Door Anoniem:
Door Anoniem: Zeer slechte zaak van ASUS. Mijn persoonlijke ervaringen met ASUS zijn ook zeer onaangenaam. Productondersteuning is echt om te janken. Vrij recentlijk 2500 euro aan een monitor en grafische kaart uitgegeven. De bijgeleverde monitor kabel zorgde voor problemen omdat deze niet DP1.2. certified was. Kosten proberen te verhalen maar tevergeefs. De gratis (1-jaar) X-split licentie bij de grafische kaart kon ik niet verzilveren omdat er een speciale code nodig was (die op het PCI-bracket staat en deze niet kon zien (alleen wanneer ik de grafische keert zou loskoppelen). Dit was niet duidelijk vermeldt in de handleiding of op de doos. Ik ga niet met alle risico's van dien de grafische kaart weer uitbouwen puur voor een code.
Via de Nederlandse ASUS-support geprobeerd om alsnog een x-split code te krijgen, maar ook daar geen medewerking.
Op verzoek toen mijn melding laten escalleren naar het management maar tot op heden helemaal niets meer van ASUS vernomen. Daar leg je dan zoveel geld neer.

Ik deel deze ervaring echter zeker niet...
Ook weet ik niet van een Predator (4k-)monitor die zónder DP1.2-kabel geleverd wordt... Ik heb er zelf twee van anderhalf jaar oud...
Wat je noemt van de x-split licentie is van beiden kanten knullig... maar ik heb nog nooit een van mijn bijgesloten licentiecodes op een PCI-bracket terug mogen vinden, noch heeft een google-zoekopdracht gelijkbare ervaringen mogen blootleggen...
Daarnaast; Er is géén noemenswaardig risico bij het in-/uitbouwen van een GPU... als je kundig genoeg bent om die kast open te schroeven... wat het kopen van losse onderdelen impliceert...

Tezamen klinkt dit eigenlijk als een behoorlijke berg kul, sorry.
Ik koop al jaren bergen hardware als GPU's en hoofdzakelijk (Workstation-) Moederborden van ASUS en betreur dit nieuws ook ten zeerste, maar ongefundeerde dingen lopen schreeuwen doe je maar lekker op telegraaf.nl ... (Wegens gebrek aan refereerbare overeenkomende feiten)

Ik heb geen predator. Heb een PG348Q 3440x1440 100HZ. Meer mensen op het overclock-forum klagen over de meegeleverde kabel van 3-dollar. De meegeleverde kabel is dus niet goed en zorgt voor allerlei issues.
voor de XSPLIT-licentie zijn er twee codes blijkbaar nodig. Een serie-nummer en een PPID-code. Serie-nummer staat op de doos en een sticker op de backplate van de 980ti-matrix. De PPID-code is enkel terug te vinden op de rand van het PCI-Bracket. Die code kan je alleen zien mits je de kaart weer loskoppel en er uit haalt. Ik heb een vervelende kast wat de inbouw en uitbouw van zo'n kaart niet makkelijk maakt. Dit zijn refereerbare overeenkomende feiten. Bovendien heeft ASUS hier nergens op geattendeerd. Niet op de doos, niet in de handleiding. ASUS gaat hier niet coulant mee om.

Kabel wordt niet vergoed en krijg niet gewoon een xplit-licentie code. Ik vind dat gewoon een kwalijke zaak. Zo ga je in mijn ogen niet om met een klant die 2500 euro aan ASUS-spul heeft uitgegeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.