原标题:华硕被指通过未经加密的HTTP更新BIOS和UEFI固件

华硕电脑预装的更新软件ASUS LiveUpdate被发现通过明文HTTP更新关键的BIOSUEFI固件 ,而且在安装时还不对内容源进行任何的验证。LiveUpdate客户端应该存在了很长时间,它通过未加密的明文HTTP连接向更新服务器如 liveupdate01.asus.com 或dlcdnet.asus.com发出请求。

攻击者很容易诱骗LiveUpdate相信一个恶意程序是合法的系统更新。已有安全研究人员公布了针对LiveUpdate的概念验证攻击(Tumblr博客)。