De crapware stelt klanten bloot aan aanvallen van criminelen, zo vindt Duo Security. "Deze updaters hebben zelfs niet de basale beveiligingsmethodes die je zou moeten gebruiken", zegt Steve Manzuik, directeur van het beveiligingsbedrijf. Vorige week publiceerde het bedrijf een rapport op basis van een uitgebreide analyse van de standaard geïnstalleerde update-tools tien Windows-laptops van Acer, Asus, Dell, HP en Lenovo.

Verkeer manipuleren

Deze programma's zorgen ervoor dat de bloatware die gebundeld is met de systemen bijgewerkt blijft. OEM's gebruiken de tools verder om drivers te verversen en zowel de eigen ondersteuningssoftware als third party-applicaties van updates te voorzien. Vooral die laatste categorie is bekend onder namen als 'bloatware' of 'crapware', omdat ze weinig toevoegen, maar wel worden toegevoegd door fabrikanten - vaak om kosten te drukken.

"Software die willekeurige binary's downloadt en installeert zijn een aanlokkelijk doelwit voor aanvallers", schreef Duo in het rapport. Als criminelen het verkeer van een updater tussen pc en server kunnen manipuleren, bijvoorbeeld via een MitM-aanval op een onbeveiligd draadloos netwerk, kunnen ze de tool misbruiken om malware te installeren.

Goede update-tools beveiligd

Om deze reden zijn high-end updatetools, zoals van Microsoft en Apple, stevig beveiligd om de authenticiteit van het proces te garanderen. Het belangrijkste component volgens Duo is daarbij het versleutelen van het verkeer tussen apparaat en server met TLS (SSL) waarmee het manifest, de lijst met bestanden binnen de update, digitaal is getekend en daarmee wordt gecontroleerd of de inhoud ongewijzigd is.

Helaas is dit idee niet populair bij OEM's. Alleen Dell en Lenovo gebruikten TLS voor het updatemechanisme, de rest stelde de datastroom bloot voor aanvallers. Slechts één fabrikant, Lenovo, gebruikte certificaten (ook niet voor al zijn updaters) om het manifest te tekenen. Verwarrend genoeg gebruiken Dell en Lenovo verschillende, overlappende tools voor dit proces, wat een teken is van slordig werk.

Flagrant falen

"Het is vaak een combinatie van deze twee", zegt Manzuik, verwijzend naar versleuteling en het tekenen van de update. Volgens Duo-onderzoeker Darren Kemp is vooral het laatste funest voor het proces. "Als OEM's dit fatsoenlijk hadden geïmplementeerd, zouden bijna alle aanvallen zijn voorkomen. 'Flagrant' is echt hét bijvoegelijk naamwoord om het falen van fabrikanten te omschrijven."

Duo vond stuk voor stuk kwetsbaarheden in alle OEM-updaters die werden onderzocht en zonder versleuteling zijn zelfs de kleinste kwetsbaarheden een probleem, schrijft Kemp. "Het niveau wat je nodig hebt om een exploit te gebruiken voor deze kwetsbaarheden hangt ergens tussen de koffievlek hier op de vloer en de gemiddelde kamerplant."

Bloat verwijderen

Het beste advies van Manzuik en Kemp aan kopers van pc's met crapware is om na aankoop onmiddellijk de schijf te wissen en een schone Windows-installatie te maken. Dat is de standaardprocedure van bedrijven - die een zakelijk image hanteren - maar veel consumenten en kleine bedrijven vinden dit te veel gedoe. Als een schone installatie geen optie is, raadt Duo aan om de ongewenste software, inclusief de update-tools, te verwijderen.

Om het probleem te omzeilen, raadt Microsoft zelf zijn eigen Signature-lijn van pc's aan. Dat zijn pc's van OEM's waar weinig tot geen aanvullende software op is geïnstalleerd. Duo keek ook naar laptops uit deze lijn en de drie bekeken Signature-modellen, van Asus, Dell en HP, bevatten ook de kwetsbare update-tools.