Più che “aggiungere valore”, il crapware e il bloatware installato dai produttori OEM sui PC per il mercato consumer espone macchina e utente a gravi rischi di sicurezza: è la denuncia di Duo Security, che nello studio Out-of-Box Exploitation: A Security Analysis of OEM Updaters evidenzia l’esistenza di vulnerabilità facilmente sfruttabili in tutte le marche più note di sistemi informatici preassemblati.
I ricercatori di Duo Labs hanno preso in esame 10 laptop recenti prodotti da Acer, Asus, Dell, HP e Lenovo, e hanno studiato le eventuali vulnerabilità presenti all’interno dei software preinstallati sotto forma di gestori di aggiornamenti, patch automatizzate, “consigli per acquisti” e via elencando.
Neanche a dirlo, in tutti i casi i suddetti software – catalogabili in una o più categorie di software indesiderato – hanno mostrato di essere potenzialmente sfruttabili per compromettere il PC, installare malware, eseguire codice malevolo da remoto o peggio ancora.
La situazione è preoccupante soprattutto sul fronte BYOD (Bring Your Own Device), in quelle aziende cioè che permettono agli impiegati di portarsi i dispositivi da casa (PC o smartphone che siano) e di usarli nel contesto lavorativo : in questo caso le vulnerabilità del crapware preinstallato potrebbe mettere a rischio l’intera rete aziendale.
I consigli di Duo Labs per gli amministratori IT sono in quest’ultimo caso di ridurre al minimo i rischi “blindando” l’accesso da parte dei dispositivi BYOD, mentre per quanto riguarda gli OEM la soluzione ideale sarebbe l’eliminazione, una volta per tutte, del crapware preinstallato dai loro sistemi.
Alfonso Maruccia