Razer i poważna wpadka w temacie bezpieczeństwa. Komuś się "zapomniało"

Strona główna Aktualności
Fot. Materiały prasowe
Fot. Materiały prasowe

O autorze

Amerykańska firma Razer, choć kojarzona głównie z peryferiami dla graczy, od pewnego czasu zajmuje się także produkcją wydajnych laptopów. Na nieszczęście wszystkich zainteresowanych tym sprzętem, wygląda na to, że o ile producent z Irvine nie ma problemu z doborem wysokiej klasy części, o tyle nieszczególnie przejmuje się bezpieczeństwem swoich urządzeń.

Jak donosi badaczka bezpieczeństwa Bailey Fox, duża część sprzedawanych obecnie notebooków Razera stanowi wręcz zaproszenie dla crackerów. O co chodzi? Otóż w fabryce z jakiegoś powodu zapomniano dezaktywować tryb producenta w BIOS-ie (Intel Manufacturing Mode). W efekcie moduł jądra systemu FUSE, umożliwiający programowanie pamięci zawierającej oprogramowanie układowe pozostaje całkowicie otwarty. Napastnik może wgrać malware i sprawić, aby ten rozpoznawany był jako element firmware'u, albo zaatakować kanałem bocznym przez Meltdown.

Zagrożone modele laptopów to: Razer Blade 15 Advanced 2019 i 2018, Razer Blade 15 2018, a także Razer Blade Stealth 13 2019. Czyli tak naprawdę cały aktualny katalog firmy.

Opieszałość to delikatne słowo

Co ciekawe, dokładnie taką samą podatność znaleziono w sprzęcie Apple'a. Wówczas oznaczono ją jako CVE-2018-4251. Jednak w Cupertino błyskawicznie zareagowano stosowną aktualizacją, czego Razer nie zrobił. Pomimo iż, jak twierdzi Fox, byli o luce wielokrotnie informowani.

Razer zareagował dopiero wtedy, gdy sprawa została wyciągnięta za pośrednictwem Twittera na forum publiczne. Miało to miejsce 21 marca br., ponoć miesiąc po przesłaniu przedsiębiorstwu zakulisowej notatki. – Razer został ostrzeżony o pewnych lukach w Intel Management Engine w kilku modelach laptopów – przyznał jeden z pracowników w rozmowie z "The Register".

Wreszcie wydano też oczekiwaną łatkę, obiecując zarazem, że firmware w egzemplarzach nowych zostanie poprawiony domyślnie. Szło jak krew z nosa, ale co by nie mówić, chociaż się udało.

Aktualizacja 8.04.2019, 15:12

Skontaktował się z nami przedstawiciel Razera w Polsce. Potwierdza, że problem występował, ale już nie powinien niepokoić użytkowników. Firma wydała niezbędne łatki, a nowe egzemplarze opuszczają fabrykę bez błędów w oprogramowaniu. Oto pełna treść nadesłanego oświadczenia:

Razer został poinformowany o pewnych lukach w Intel Management Engine w części modeli laptopów. Aby rozwiązać ten problem, laptopy Razera będą opuszczały zakłady produkcyjnie z aktualizacją usuwającą te luki. W przypadku laptopów Razer Blade z roku 2016 i nowszych firma dostarczyła już narzędzie pozwalające na ściągnięcie i instalację tej aktualizacji (dostępne tutaj: http://rzr.to/sqlfG). W przypadku laptopów Razer z 2015 r. i wcześniejszych przygotowywane jest odpowiednie oprogramowanie, które będzie dostępne w ciągu kilku tygodni. W przypadku jakichkolwiek pytań prosimy o kontakt z pomocą techniczną Razera: https://support.razer.com/ – Razer Polska.

© dobreprogramy