Trong một bài đăng trên blog, công ty bảo mật Eclypsium cho biết rằng họ đã phát hiện ra hành vi giống như cửa hậu trong các hệ thống sử dụng bo mạch chủ Gigabyte có mặt trên thị trường.
Phân tích sâu hơn, họ đã phát hiện ra rằng có tổng cộng 271 model bo mạch chủ khác nhau của Gigabyte có một cơ chế ẩn chạy chương trình cập nhật một cách lặng lẽ. Chương trình này kết nối với một máy chủ từ xa, tải xuống và sau đó thực thi phần mềm. Đó là một hành vi đáng ngờ so với một chức năng cơ bản của bản cập nhật thông thường.
Quan trọng hơn, các nhà nghiên cứu đã phát hiện ra rằng trình cập nhật được triển khai không an toàn, cho phép các tác nhân đe dọa chiếm quyền điều khiển trình cập nhật và sử dụng nó cho mục đích bất chính. Rõ ràng, trình cập nhật tải xuống mã mà không cần xác thực phù hợp, trong một số trường hợp thực hiện qua kết nối HTTP (trái ngược với HTTPS). Điều này sẽ làm cho các cuộc tấn công trung gian vào các mạng Wi-Fi lừa đảo có thể xảy ra, cho phép các tác nhân đe dọa tiềm tàng giả mạo nguồn cài đặt và thả phần mềm độc hại vào chúng.
Không dừng lại ở đó, trình cập nhật hoạt động từ firmware, do đó nó sẽ miễn nhiễm với các chương trình chống virus, các giải pháp bảo mật điểm cuối,…
Cho đến nay, Gigabyte vẫn tương đối im lặng về vấn đề này. Eclypsium cho biết họ hiện đang làm việc với nhà sản xuất bo mạch chủ Đài Loan để sửa lỗi. Bản sửa lỗi khi được phát hành có thể sẽ được Gigabyte chuyển đến người dùng sử dụng bo mạch chủ bị ảnh hưởng.
Thái An
