2026 год. Будущее человечества обсуждается благодаря развитию искусственного интеллекта, поскольку роботы становятся пугающе человекоподобными. И каким-то образом автоматическое обновление драйверов Windows от AMD по-прежнему загружает программное обеспечение небезопасно (ссылка на Web Archive), как обнаружил человек, известный только как Пол, начинающий новозеландский исследователь в области безопасности, который опубликовал свои выводы в блоге, с тех пор временно удаленном «[…] по запросу». Пока неясно, была ли ошибка напрямую подтверждена AMD, но автор отмечает, что удаление временное, и оно «вызвало огромный интерес» в сети.
По словам Пола, когда автообновление находит доступное обновление, оно загружает его через небезопасное соединение. Это открывает возможность для злоумышленника в той же сети или далее по цепочке просто выдать себя за веб-сайт AMD или изменить загрузку в процессе передачи, добавив шпионское или вымогательское ПО — причем с правами администратора.
По словам Пола, он поступил ответственно и немедленно сообщил о проблеме AMD, но получил несколько шаблонный ответ, в котором говорилось, что атаки «человек посередине» (man-in-the-middle) «выходят за рамки», подразумевая, что ошибка не будет исправлена. Хотя Пол не уточнил, он, вероятно, сообщил о проблеме через программу поиска уязвимостей AMD, что означает, что он не получит вознаграждения за свою работу.
Хотя представитель AMD технически прав (часто это лучший вид правоты), если ситуация описана верно, то планка для злоумышленника чрезвычайно низка.
Самый простой способ — перенаправить домен ati.com на свой собственный сервер для доставки вредоносного ПО, поскольку автообновление будет слепо ему доверять, или перехватить загрузку и изменить ее, поскольку незащищенные соединения не обеспечивают проверку целостности.
Учитывая, что продукция AMD присутствует во многих компьютерах, потенциальная поверхность атаки, вероятно, исчисляется миллионами. Тот факт, что подавляющее большинство пользователей позволяют своим устройствам автоматически подключаться к известным сетям Wi-Fi, только усугубит ситуацию.
Что еще хуже, если выводы подтвердятся, трудно сказать, как долго обновления доставлялись таким образом. Некоторые поиски показывают, что автообновление датируется 2017 годом, хотя трудно точно определить, когда этот конкретный обработчик загрузки был введен в эксплуатацию. В худшем случае речь может идти о почти десятилетии небезопасной доставки программного обеспечения для всего мира.
Пол обнаружил это, когда заметил, что окно консоли неожиданно появилось на его новом игровом ПК. Ад не знает такой ярости, как гнев отвергнутого исследователя, поэтому он быстро отследил это окно до автообновления AMD и, по его собственным словам, решил «наказать [программное обеспечение], декомпилировав его». Это быстро привело к ссылке, откуда программное обеспечение извлекает список доступных обновлений, странно названной ссылкой «Devlpment» [орфография сохранена].
Указанный список доставляется по ссылке HTTPS, таким образом, безопасно, но, к сожалению для Пола, сами пакеты драйверов используют стандартные ссылки HTTP. Это означает, что они лишены двух основных преимуществ HTTPS: идентификации удаленного сервера (в данном случае ati.com) и целостности передаваемых данных против изменений.
Если все это правда, остается только надеяться, что AMD осознает ошибку и немедленно ее исправит, а также предоставит Полу вознаграждение за его расследование.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
