BeeBright/Getty Images
پنهان کردن برنامههای مخرب در میانافزار UEFI رایانه، کدی که به رایانه میگوید چگونه سیستم عامل خود را بارگیری کند، به یک ترفند موذیانه در جعبه ابزار هکرهای مخفی تبدیل شده است. اما وقتی یک سازنده مادربرد درب پشتی مخفی خود را در میانافزار میلیونها رایانه نصب میکند – و حتی یک قفل مناسب روی آن ورودی پنهان پشتی قرار نمیدهد – عملاً کار هکرها را برای آنها انجام میدهند.
محققان شرکت امنیت سایبری متمرکز بر سیستم عامل Eclypsium امروز فاش کردند که مکانیسمی پنهان در میان افزار مادربردهای فروخته شده توسط سازنده تایوانی Gigabyte کشف کرده اند که اجزای آن معمولاً در رایانه های شخصی بازی و سایر رایانه های با کارایی بالا استفاده می شود. Eclypsium دریافت که هر زمان رایانهای با مادربرد گیگابایت آسیبدیده راهاندازی مجدد میشود، کد درون سیستمافزار مادربرد بهطور نامرئی یک برنامه بهروزرسانی را آغاز میکند که روی رایانه اجرا میشود و به نوبه خود نرمافزار دیگری را دانلود و اجرا میکند.
در حالی که Eclypsium میگوید که کد مخفی ابزاری بیضرر برای بهروز نگهداشتن سیستم عامل مادربرد است، محققان دریافتند که بهطور ناامن پیادهسازی میشود و به طور بالقوه امکان ربودن مکانیسم و استفاده از آن برای نصب بدافزار بهجای برنامه مورد نظر گیگابایت را فراهم میکند. و از آنجایی که برنامه بهروزرسانیکننده از میانافزار رایانه، خارج از سیستم عامل آن فعال میشود، حذف یا حتی کشف آن برای کاربران دشوار است.
جان لوکایدس، رهبر استراتژی، میگوید: «اگر یکی از این ماشینها را دارید، باید نگران این واقعیت باشید که اساساً چیزی را از اینترنت میگیرد و بدون دخالت شما اجرا میکند، و هیچ یک از این کارها را به طور ایمن انجام نداده است. و تحقیق در Eclypsium. “مفهوم رفتن به زیر کاربر نهایی و در اختیار گرفتن دستگاه آنها برای اکثر مردم خوب نیست.”
Eclypsium در پست وبلاگ خود در مورد این تحقیق، 271 مدل از مادربردهای گیگابایت را که به گفته محققان تحت تأثیر قرار گرفته اند، فهرست می کند. Loucaides اضافه می کند که کاربرانی که می خواهند ببینند رایانه آنها از کدام مادربرد استفاده می کند، می توانند با رفتن به “شروع” در ویندوز و سپس “اطلاعات سیستم” بررسی کنند.