研究人员表示,数百种技嘉主板型号上的隐藏代码会以不可见和不安全的方式下载程序,这是一种可能被滥用的功能,将导致黑客可以在相关电脑上随意安装软件,甚至通过一个WiFi就能劫持电脑。同时,它是通过固件触发的,导致系统无法做出反应。

专注于固件的网络安全公司 Eclypsium 的研究人员今天透露,他们在台湾制造商技嘉出售的主板固件中发现了一个隐藏机制,其组件通常用于游戏 PC 和其他高性能计算机。Eclypsium 发现,每次重启带有受影响的技嘉主板的计算机时,主板固件中的代码都会无形地启动在计算机上运行的更新程序,然后下载并运行另一个程序,这种深度嵌入的代码告诉 PC 如何加载其操作系统。

打开网易新闻 查看精彩图片

虽然 Eclypsium 表示隐藏代码旨在成为使主板固件保持最新的无害工具,但研究人员发现它以不安全的方式实施,这可能允许该机制被劫持并用于在计算机上安装恶意软件,而不是技嘉提供的程序。而且由于更新程序是由计算机的固件触发的,在其操作系统之外,用户很难删除甚至发现它。

将恶意软件隐藏在计算机的 UEFI 固件中,这种深度嵌入的代码告诉 PC 如何加载其操作系统,已成为黑客工具包里的常规武器。但是,当主板制造商将他们自己的隐藏后门安装到数百万台计算机的固件中,甚至没有对那个隐藏的后门进行适当的锁定时,他们几乎是在替黑客做事。

在其有关调查的博客文章中,Eclypsium 列出了受到影响的271款 Gigabyte 主板型号,这些主板的总数量数以百万计。Loucaides 补充说,想要查看其计算机使用的主板的用户可以通过转到 Windows 中的“开始”,然后转到“系统信息”来查看。

仅技嘉的更新程序就可能引起用户的担忧,技嘉会使用几乎看不见的工具在他们的机器上悄悄安装代码,或者担心黑客会利用技嘉的机制并危及主板制造商以利用他们在软件供应中的隐藏访问连锁攻击。但 Eclypsium 还发现,更新机制的实施存在明显的漏洞,可能会使其被劫持:它会在没有正确验证用户身份的情况下将代码下载到用户的机器上,有时甚至是通过不受保护的 HTTP 连接,而不是 HTTPS。这将允许安装源被中间人攻击冒充,任何人都可以拦截用户的 Internet 连接,例如流氓 Wi-Fi 网络

技嘉方面表示,计划修复被研究人员发现的该漏洞。