膨脹件

訊北京時(shí)間6月1日消息，據(jù)科技網(wǎng)站CNET報(bào)道，當(dāng)?shù)貢r(shí)間周二，安全公司Duo Security旗下研究部門Duo Labs發(fā)表調(diào)查報(bào)告稱，宏碁、華碩、戴爾、惠普和聯(lián)想筆記本預(yù)裝的軟件更新工具，均包含有至少一處危急安全缺陷，黑客可以輕松利用這些缺陷興風(fēng)作浪。Duo Labs在所有PC廠商預(yù)裝的軟件中發(fā)現(xiàn)12處不同的安全缺陷。

PC廠商預(yù)裝軟件包括對(duì)產(chǎn)品注冊(cè)的軟件以及讓用戶免費(fèi)試用30天的軟件，它們通常被稱為膨脹件，因?yàn)樗鼈兓旧蠜](méi)有什么用途，也不是應(yīng)用戶要求安裝的。據(jù)Duo Labs稱，膨脹件不僅是多余的，還經(jīng)常成為安全鏈條上的薄弱環(huán)節(jié)。

安全研究人員達(dá)倫·肯普(Darren Kemp)周二發(fā)表博文稱，“黑客利用大多數(shù)這些缺陷興風(fēng)作浪的難度不高。”

Duo Labs的調(diào)查突顯了非必要軟件的風(fēng)險(xiǎn)。用戶很少使用，甚至不知道筆記本上安裝有這些軟件，它們通常不會(huì)得到及時(shí)更新，很容易成為黑客攻擊的靶子。報(bào)告指出，PC廠商還沒(méi)有在這些更新工具中采取基本的安全措施。膨脹件不僅僅令人討厭，還會(huì)帶來(lái)安全風(fēng)險(xiǎn)。

報(bào)告稱，真正讓人沮喪的是，筆記本用戶對(duì)于由廠商更新工具造成的安全缺陷基本上無(wú)計(jì)可施，消除這些安全風(fēng)險(xiǎn)需要大量時(shí)間和精力：研究團(tuán)隊(duì)建議用戶清除OEM系統(tǒng)，重新安裝沒(méi)有膨脹件的Windows拷貝，卸載任何不必要的軟件。

Duo Labs已經(jīng)向PC廠商通報(bào)了它們軟件中的缺陷，部分缺陷已經(jīng)被修復(fù)。Duo Labs之所以選擇研究這些品牌，是因?yàn)樗鼈兊漠a(chǎn)品受到用戶青睞。Duo Labs稱，在許多情況下，使用OEM更新工具中的加密技術(shù)，能提高缺陷被黑客利用的難度。

Duo Labs稱，惠普已經(jīng)修正了其更新工具中的高風(fēng)險(xiǎn)缺陷，聯(lián)想將發(fā)布更新包，卸載旗下所有筆記本中的問(wèn)題軟件。宏碁和華碩承認(rèn)它們的產(chǎn)品存在缺陷，但尚未發(fā)布補(bǔ)丁軟件。在Duo Labs接洽前，戴爾就發(fā)布了一款更新包，修正其產(chǎn)品存在的多個(gè)缺陷。