Haikupita
Shughuli ya kusihi katika mpango wa ASUS WebStorage iligunduliwa na wataalamu wa Eset mwishoni mwa Aprili. Hapo awali, kikundi cha BlackTech kilisambaza Plead kwa kutumia mashambulizi ya kuhadaa ili kupata maelezo ya kibinafsi kupitia barua pepe na vipanga njia vilivyo na udhaifu ulio wazi. Shambulio la hivi punde halikuwa la kawaida. Wadukuzi waliingiza Plead kwenye programu ya ASUS Webstorage Upate.exe, ambayo ni zana ya kampuni inayomilikiwa ya kusasisha programu. Kisha mlango wa nyuma pia uliamilishwa na mpango wamiliki na unaoaminika wa ASUS WebStorage.
Kulingana na wataalamu, wadukuzi waliweza kuanzisha mlango wa nyuma katika huduma za ASUS kutokana na ukosefu wa usalama wa kutosha katika itifaki ya HTTP kwa kutumia kile kinachoitwa shambulio la mtu-katikati. Ombi la kusasisha na kuhamisha faili kutoka kwa huduma za ASUS kupitia HTTP linaweza kuzuiwa, na badala ya programu inayoaminika, faili zilizoambukizwa huhamishiwa kwa mwathiriwa. Wakati huo huo, programu ya ASUS haina taratibu za kuthibitisha uhalisi wa programu zilizopakuliwa kabla ya kutekelezwa kwenye kompyuta ya mwathiriwa. Kuzuiliwa kwa sasisho kunawezekana kwenye ruta zilizoathiriwa. Kwa hili, inatosha kwa wasimamizi kupuuza mipangilio ya msingi. Routa nyingi kwenye mtandao ulioshambuliwa ni kutoka kwa mtengenezaji sawa na nywila zilizowekwa na kiwanda, habari ambayo sio siri iliyolindwa kwa karibu.
Huduma ya Wingu ya ASUS ilijibu haraka uwezekano wa kuathiriwa na kusasisha mifumo kwenye seva ya sasisho. Hata hivyo, kampuni inapendekeza kwamba watumiaji waangalie kompyuta zao wenyewe kwa virusi.
Chanzo: 3dnews.ru