華碩電腦預(yù)裝的更新軟件ASUS LiveUpdate被發(fā)現(xiàn)通過明文HTTP更新關(guān)鍵的BIOS和UEFI固件 ,而且在安裝時(shí)還不對(duì)內(nèi)容源進(jìn)行任何的驗(yàn)證。LiveUpdate客戶端應(yīng)該存在了很長時(shí)間,它通過未加密的明文HTTP連接向更新服務(wù)器如liveupdate01.asus.com 或dlcdnet.asus.com發(fā)出請(qǐng)求。
攻擊者很容易誘騙LiveUpdate相信一個(gè)惡意程序是合法的系統(tǒng)更新。已有安全研究人員公布了針對(duì)LiveUpdate的概念驗(yàn)證攻擊(Tumblr博客)。