Durch die automatische Installation von Treibern über Windows Update können Angreifer mit Hilfe von Peripherie von Razer und Asus Admin-Rechte erlangen. Dazu ist es lediglich nötig, ein entsprechendes Eingabegerät oder einen entsprechenden Dongle an den betroffenen Rechner zu stecken, was Zugriff auf die Hardware vorausetzt.
@Sekorhex
vermutlich... aber wenn ich es richtig verstanden habe, geht es ja da darum, dass man physikalischen Zugriff auf das Gerät haben muss... das dürfte ja im Privatbereich meist schon ein Ausschlusskriterium sein, den Hack ausnutzen zu wollen...
Von Razer selbst gibt es noch keine vollständige Stellungnahme. Auf Twitter hat sich nur das Social-Media-Team zu Wort gemeldet und „jonhat“ darum gebeten, die Fallnummer zu übersenden, damit das Problem an die zuständigen Mitarbeiter weitergeleitet werden könne. Dies wird als unzureichend kritisiert: Razer solle das Problem ohne weiteren äußeren Input bearbeiten, lautet der Tenor in den Kommentaren.
Dabei ist es nicht einmal nötig, das betroffene Eingabegerät zu besitzen. Laut Sicherheitsexperten Cristian Mariolini lässt sich die Vendor-ID auch einfach vortäuschen („Spoofing“), um den Installationsprozess auszulösen.
Das ist eine gute Nachricht für alle Hacker. So einen hervorragenden Service gibt es nicht bei jedem Hersteller.
Wann müssen endlich die Hersteller für Produkt haften?
Das ist eine gute Nachricht für alle Hacker. So einen hervorragenden Service gibt es nicht bei jedem Hersteller.
Wann müssen endlich die Hersteller für Produkt haften?
Ich vermisse in solchen Artikeln immer den Hinweis wie groß denn die Gefahr für den einzelnen Heimanwender/Gamer ist, wenn kein fremder physisch Zugriff auf die Hardware hat.
Die überschriften suggerieren jedenfalls immer das jeder in "höchster" Gefahr schwebt. Es gehört bei solchen Artikeln in der Überschrifft mMn. immer der Hinweis ob direkter Zugriff auf die Hardware nötig ist oder nicht.
Das OS wohl nicht direkt, die Treiber werden immer als System Admin installiert, ist auch kein Thema, außer man erhält solche Softwarefreiheiten wie hier.
ja wieder mal so was, warum dem Windows Update NIEMALS erlaubt werden sollte, irgendwelche Treiber / Zusatzsoftware zu installieren, die MS für richtig hält.
Ich empfehle immer wieder niemals Treibersoftware von Mäusen, Tastaturen, etc. auf dem Hauptsystem zu installieren, weil diese Änderungen am System vornehmen, die nicht sichtbar sind und trotzdem spürbare Auswirkungen haben können.
Bei Razer- und Logitech-Software habe ich seit mehreren Jahren negative Auswirkungen feststellen können.
Wenn man die Einstellungen an der Maus/Tastaturen vornehmen möchte, kann man die Software/Treiber auf einem separaten System installieren, diese im internen Speicher der Maus/Tastatur als Profil speichern und anschließend ins Hauptsystem einstecken.
ChrisM schrieb:
Aber wer hat bei Bürogeräten Zugriff auf Razerhardware, ist das so geläufig? Bei uns sind es maximal 10€ Billig-Mäuse von Logitech.
Bei uns dürfen wir kaufen, was wir wollen, solange es der Abteilungsleiter genehmigt.
Es gibt für alles eine Pauschale. Überschreitet man diese, muss man es aus der eigenen Tasche zahlen.
Wenn man sich nicht darum kümmern möchte, muss man sich mit dem zufrieden geben, was gestellt wird.
Da in der Regel niemand zuhause jemanden Fremden am PC sitzen hat, ist das Problem für Privatanwender ja nicht wirklich relevant.
Durch das vortäuschen einer Vendor-ID kann es im beruflichen Umfeld ggf. ausgenutzt werden, die Fallzahl dürfte am Ende aber im Promillebereich liegen.
Also habe vor kurze wegen einem Wechsel auf NVME Windows neuinstalliert und hatte mich auch gewundert, das Synapse automatisch installiert wurde. Fand es aber sehr praktisch, einmal einloggen und alles war wieder da. Aber Convenience geht nun mal leider fast immer mit Abstrichen bei der Sicherheit einher.
Ist natürlich nicht schön, aber wie schon angemerkt muss man physischen Zugriff auf das System haben und dieses muss auch entsperrt sein. Wenn man dan nicht noch Spuren beseitigt, wundert sich der Hauptnutzer auch noch über ein installiertes Synapse.
Das OS wohl nicht direkt, die Treiber werden immer als System Admin installiert, ist auch kein Thema, außer man erhält solche Softwarefreiheiten wie hier.