Инструмент поддержки Dell делал ПК уязвимыми перед атаками

Используемый на сайте компании Dell инструмент анализа устройств пользователя, который помогал выбрать нужные драйверы, описания и прочий связанный контент, позволял осуществлять удалённую установку вредоносных приложений. Уязвимость была найдена в ноябре, Dell выпустила закрывающее её обновление 9 января. Однако на данный момент невозможно сказать, устранена ли опасность полностью.

Приложение Dell System Detect предлагается скачать на сайте Dell при нажатии на кнопку «Определить продукт». В прошлом году исследователь Том Форбс исследовал программу при помощи обратной инженерии, чтобы понять, как она связывается с веб-сайтом Dell.  Программа устанавливает на локальный компьютер веб-сервер и прослушивает порт 8884. Затем сайт Dell отправляет через браузер пользователя запросы на локальный сервер на языке JavaScript.

Программа проверяет, содержит ли URL запроса слово dell, однако это не обязательно должно было быть имя домена, и проверку проходили даже адреса вроде evil-site.com/dell. Программа обладает также поддержкой таких команд, как getdevices, getsysteminfo, checkadminrights, downloadfiles и downloadandautoinstall. Последняя особо опасна, поскольку даёт возможность скачивать и автоматически устанавливать приложения. Хотя перед этим и проводится процедура аутентификации, она оказалась не самой надёжной. Создав скрипт на языке Python, Форбс смог генерировать подходящие идентификаторы.

После выпуска обновления процесс получения доступа к коду приложения был затруднён, так что метод обратной инженерии заметно усложнился. Представители Dell говорят о закрытии уязвимости, а также о том, что не сотрудничают с правительствами любых стран в деле наблюдения за пользователями.