El sistema de actualizaciones de ASUS "LiveUpdate" descarga nuevas versiones de la BIOS/UEFI y de programas vía HTTP, sin verificación ni autenticación de la fuente ni del contenido, permitiendo su ejecución como usuario en el grupo NT de “Administradores”.
|
etiquetas: seguridad informática , asus , informática
Antiguamente te bajabas la bios la metías en flasheeador y te olvidabas ahora tienes que quitar la vieja ver de recuperar el slic y encima pelearte con el header.
Yo aun no he tocado una de windows 8-10 que se supone trae la key de windows en la puta bios.
De esas mierdas todos lo traen y es recomendable desintalarlos ya que solo dan problemas.
Encima actualizaciones de bios por dos o por la propia bios y testeando que no tengan problemas antes.
En la cara no, por favor.
La noticia da entender que las bios de los servers no están firmadas cuando no es cierto.
Luego lees el articulo y es la basura de fabrica.
Un usuario que simplemente compra el ordenador para usarlo y no pretende conocer al detalle estas interioridades, que solo quiere hacer su trabajo o disfrutar de navegar, jugar, ver videos, etc, no se preocupa de estas cosas, se presupone que todo viene "bien" del fabricante. El fabricante, Asus en este caso, lo que está haciendo es descargar actualizaciones por una vía completamente insegura, y después instala estas mismas actualizaciones como un superusuario, sin control alguno, de forma que a) es facilmente manipulable por terceros para meterte lo que ellos quieran, b) podrían tomar el control de tu ordenador y robarte datos con una aplicación malintencionada, y tú ni te enterarías, c) lo peor de todo es que el usuario no ha hecho nada malo, ni cometido un error, se ha fiado del fabricante.
En el artículo demuestra lo fácil que es engañar el liveupdate para inyectarle cualquier aplicación como una actualización crítica, y que sea instalada automáticamente sin tu permiso ni conocimiento.
www.meneame.net/story/cazan-lenovo-instalando-bloatware-desde-bios-lap
Si se detecta una chapuza así en un programa libre tienes un parche (que lo soluciona --o lo inhabilita hasta que se propone una solución adecuada-- en un plis plas)
Salu2
Lo que he dicho y mantengo es que si una persona como la que ha escrito el artículo detecta este fallo, viendo el esfuerzo que ha puesto en informar del problema y la dificultad que intuyo supone resolverlo, creo que de haber sido software libre esta persona podría haber escrito el parche y ofrecer una solución al problema.
Lo de Lenovo era más complejo porque la aplicación que lo hacía era la BIOS, que es "imborrable".
El artículo no habla del formato de las BIOS, si no del protocolo de actualización en línea.
Estas mezclado lo que sabes sobre formatos de binarios de BIOS e incluso de métodos de flasheo y no es algo de lo que se trate el problema analizado hoy.
El nivel de chapucerismo no lo califico según el volumen de usuarios.
Volviendo al tema, lo que yo intengo explicarte sin éxito es que por ser software libre en un pispás no hay parches solucionando posibles errores.
Lo hay si (además de ser libre) el proyecto es grande y hay desarrolladores activos.
Mis proyectos son libres pero no grandes ni tienen desarrolladores más allá de un ratejo mío, por eso por muchos bugs, no los arregla nadie.
Y tienes razón: los errores no se arreglan solos y hay mucho software libre abandonado que no se arregla. Pero no estamos hablando de cualquier software tuyo o mío, hablamos de un software que viene preinstalado en todos o casi todos los portátiles ASUS.
En mi caso sí encuentro y sí corrijo problemillas [1](bugzilla.gnome.org/show_bug.cgi?id=707641), [2](github.com/nltk/nltk/pull/1141), [3](github.com/dragoon/django-selenium/pull/26), [4](github.com/metashare/META-SHARE/pull/265), [5](github.com/dgrtwo/broom/pull/51), [6](github.com/gforge/htmlTable/issues/4). Y también me han corregido algunas cosas en algún proyecto [7](github.com/zeehio/parmap/pull/2), [8](github.com/zeehio/parmap/pull/6).
Los proyectos en los que he contribuido son mucho menores que ASUS LiveUpdate, por eso creo que para algo como ASUS LiveUpdate sí habría parche si fuese libre (quizás podría contribuirlo yo mismo).