Notebooky od známých výrobců jsou bezpečnostní noční můra

Roky totéž. Pořídíte si počítač nebo notebook, abyste v něm našli desítky zcela zbytečných programů. Většinou i zásadně nebezpečných

Duo Security upozorňuje, že notebooky a laptopy dodávané největšími výrobci jsou zaplavené bloatware, které není jenom obtěžující, zpomalující, ale také představuje zásadní bezpečnostní rizika. Acer, Asus, Dell, HP i Lenovo uživatelům tímto způsobem přináší minimálně jednu zranitelnost, která může vést k plně kompromitovanému systému. Co navíc, většina z těchto zranitelností je extrémně snadno zneužitelná.

Jako by nestačilo, že se u notebooků od Lenovo ukázalo, že obsahují zásadní nebezpečný adware i MITM nástroj a chvíli poté se zjistilo, že podobné (ne-li totožné) nástroje mají v noteboocích i další výrobci (například Dell). Superfish, jak se adware/malware v noteboocích od Lenova jmenuje, ale k poučení nestačil, co navíc, podle Duo Security šlo jenom o jeden ze záplavy problémů.

Lenovo_Superfish

Notebooky, laptopy i počítače jsou výrobci zaplaveny řadou různých pomůcek pro vzdálenou diagnostiku a pomoc, nechybí ani množství různorodého software „na vyzkoušenou zdarma“ a řada dalšího software, které se tam dostává, protože výrobce za to dostává zaplaceno. Software, o kterým nikdo ani neví že tam je, ale co hlavně, které mnohdy zůstává neaktualizované a děravé. Případně se později ukáže, že je děravé bez šance na brzkou nápravu.

Výše zmíněný Superfish byl navíc tak agresivní malware, že zneužíval Windows k tomu, aby při odstranění byl opět nainstalován. Zásadní nebezpečí, stejně jako absurdní nápady Dellu s instalací vlastního eDellRoot certifikátu, který umožňuje obcházet jakékoliv zabezpečení spojení.

Řada pomůcek a programů instalovaných výrobci na jejich hardware je nezabezpečená – přenáší data volně čitelným http spojením, umožňují snadné podvržení souborů při aktualizaci a tím i napadení počítače, je možné je zneužít k zjištění informací o počítači. Duo Security pak upozorňuje na některé praktické příklady – HP počítače s možností vykonání kódu na dálku, stejně jako je tomu možné u ASUSu, Aceru či Lenova.

Zásadním problém je i to, že případné aktualizace přímo od výrobců mají v systémech zpravidla tu nejvyšší prioritu, ale zároveň také tu nejmenší úroveň zabezpečení a ochrany. Velmi málo stačí k tomu, aby s pomocí analýzy kódu či komunikace útočnicí přišli na to, jakým způsobem je využít pro vlastní účely.

V kompletní zprávě od Duo Security (PDF) je k vidění řada velmi praktických příkladů svědčících o tom, že když se výrobci hardware pustí do programování systémů na aktualizaci, tak je skoro jisté, že to bude mít katastrofální následky.

Co dělat s systémem narvaným hloupostmi?

Řešení je snadné, ale pro většinu uživatelů poměrně obtížné. Vyžaduje totiž kompletní smazání koupeného systému a poté čistou instalaci Windows (či Linuxu, pokud chcete změnit operační systém). Co je navíc dost nutné, ideálně ještě předtím, než je systém vůbec poprvé spuštěn, protože pak není jisté co se kde uchytí (viz Superfish).

Pokud se na kompletní čistou instalaci uživatel necítí, ta je možné se pokusit z počítače odstranit nepotřebné software. Problém většinou ale nastává v tom, že je obtížné určit co je možné odstranit, včetně situace kdy některé software odstranitelné (nebo alespoň zakazatelné) není a nebude.

Ideální řešení je pořídit si čistý počítač, buď v podobě Microsoft Signature Edition systémů (ale ani zde není 100% jistota, že se tam něco z OEM záplavy smetí neobjeví) nebo počítač sestavený z komponent a dodaný pouze s Windows (nebo zcela bez, pokud si chcete pořídit Linux).

FacebookUpdate.exe – dáreček co vám Facebook vloží do počítače

Facebook Video chat od Skype instaluje do systému bez vašeho vědomí software pro automatickou aktualizaci. Odinstalací videochatu se tohoto software navíc nezbavíte. Virus to není a s jistotou pochází od Facebooku.

Možná se vám jednoho dne podaří v přehledu spuštěných úloh na Windows zahlédnout FacebookUpdate.exe – a budete se divit, co to vlastně je. A pátrat, jestli to není virus. Virus to není, tedy pokud pro vás označení „virus“ nesplňuje i software, který Facebook Inc. propašoval bez vašeho vědomí do vašeho počítače při instalaci video chatu. Toho „video chatu“ co před pár dny Facebook spustil ve spolupráci se Skype.

Pokud máte pochybnosti o původu software, tak je zcela jisté, že je instalován v okamžiku instalace aplikace pro video chat od Skype (odzkoušeno mimo jiné i v čistém virtuálním stroji).

Pokud si na www.facebook.com/videocalling aktivujete video chat, budete si muset stáhnout instalační program FacebookVideoCallSetup (jméno ještě doplňuje označení aktuální verze). Ten zdánlivě instaluje jenom video chat (tedy něco na způsob „Skype Lite“). Ve skutečnosti vám ale do systému přihodí ještě FacebookUpdate.exe a FacebookCrashHandler.exe. První jmenovaný se čas od času spouští, samozřejmě aniž byste o tom cokoliv věděli.

Výpis adresáře :Users<uživatel>AppDataLocalFacebookUpdate

14.07.2011 06:51 <DIR> 1.2.201.0
14.07.2011 06:51 <DIR> 1.2.203.0
15.07.2011 06:29 <DIR> Download
14.07.2011 06:51 137 536 FacebookUpdate.exe
14.07.2011 06:51 <DIR> Manifest

Na disku tenhle „dáreček“ najdete v AppData, tedy někde, kde byste instalované programy moc neočekávali. A FacebookUpdate.exe tam zpravidla najdete v několika kopiích. Mezi instalovanými programy najdete jenom „Facebook Video Calling“ (autor: Skype), po nějakém aktualizačním programu Facebooku tam nepátrejte. A odinstalace „Facebook Video Calling“ vám neodinstaluje FacebookUpdate.exe – ten je prostě v systému nainstalovaný natrvalo.

V počítači se tenhle dáreček navíc zabydlel v HKCUSoftwareMicrosoftWindowsCurrentVersionRun a dvakrát v naplánovaných úlohách – spouští se každý den.

1) FacebookUpdate.exe /ua /installsource scheduler

2) FacebookUpdate.exe /c /nocrashserver

Zajímavá je na tomhle vetřeli i další věc – je založený na Google Update (respektive na http://code.google.com/p/omaha/).  Soubory jsou digitálně podepsány a certifikát odpovídá certifikátu Facebooku.

Pokud chcete vědět víc, tak zde najdete kompletní analýzu toho, co se po instalaci Facebook Video Calling (Skype Lite) vlastně stalo. Není toho málo.

Jak se FacebookUpdate.exe zbavit?

FacebookUpdate.exe postrádá odstinstalaci, takže jediné co můžete udělat je smazat složku, ve které se zabydlelo – Users<uživatel>AppDataLocalFacebookUpdate

Tím se sice zbavíte dotěrného programu sloužícího neznámému účelu, ale stále poněm zbydou v systému další stopy.

Musíte odstranit dva záznamy v Plánovači úloh a pomocí Registry Editoru se zbavit následujících záznamů

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

a

HKEY_CURRENT_USERSoftwareClassesCLSID{2F0E2680-9FF5-43C0-B76E-114A56E93598}

Žádné další výskyty se mi prozatím nepodařilo najít.