קושחה מסוכנת

חוקרי אבטחה מחברת אקליפסיום טוענים, שרבות מהקושחות המותקנות במחשבים האישיים של ימינו סובלות מפגיעות שלא תוקנה, למרות שהיא ידועה כבר יותר מחמש שנים.

החוקרים פרסמו השבוע מסמך נוסף, שבו הם מציינים שניתן לעדכן באמצעות קוד לא חתום, כזה שלא נכתב בידי היצרניות עצמן, רכיבים כמו מצלמות רשת, רכזות USB, משטחי שליטה ועוד פריטי חומרה אחרים. עדכון קושחה שכזה יכול למעשה לפתוח דלת אחורית כזו או אחרת, שהאקרים יכולים לנצל כשער לרשתות שאליהן מתחבר המחשב ולמידע שעובר ו/או מאוחסן בהן – וכל זאת בלי ידיעת המשתמש כמובן.

המחקר אמנם התייחס לתקיפות תיאורטיות ולא להתקפה שמתנהלת במציאות, אבל הוא גם סיפק הוכחה כיצד הפגיעות מצליחה להיכנס באמצעות עדכון קושחה "לא חוקי" לתוך רשת שאליה מחובר מחשב כדי לגנוב מידע המרשת.

"קושחה אמורה להיות שקופה לחלוטין למשתמש, ולכן אין זה מפתיע, שרוב האנשים לא שמים לכך לב. עם זאת, הרכיבים בונים את התשתית שבה תלויים כל התקן, מערכת הפעלה ויישום. הגילוי אינו מספיק ואינו פותר את הבעיה. רוב היצרניות צריכות ליצור הליך עדכון קושחה חדש, שכולל בדיקת חתימה נכונה", אמר מנכ"ל החברה, יורי בלגין.

לפי אקליפסיום, בעיית עדכון הקושחה יכולה להיות קיימת בכל המחשבים של כל החברות, כולל לנובו, HP ודל.

דובר של לנובו מסר, כי מדובר בבעיה ידועה לרוחב כל התעשייה ושהמחשבים של החברה מבצעים בדיקות כאלו בכל מקום שבו ניתן לבצע זאת באופן טכנולוגי. מ-HP מסרו, כי הם תיקנו קושחה של מצלמה מסוימת שעלתת בדו"ח, ושבעתיד כל המצלמות שישולבו במחשבי החברה ישתמשו בעדכון חתום בלבד. דל מסרה, שהיא פועלת מול הספקים כדי לפתור את הממצאים, ושהיא תספק עדכוני אבטחה כשיהיו זמינים.