Uma investigação da Eclypsium descobriu que há placas-mãe da Gigabyte que contêm uma ‘backdoor’ instalada, uma porta dos fundos que constitui uma vulnerabilidade por ser um ponto de entrada de hackers. Esta configuração está presente em milhões de placas-mãe vendidas em todo o mundo e o código instalado inicia um programa de atualizações de cada vez que o computador reinicia, descarregando e executando depois outro pedaço de software.
A Gigabyte afirma que o mecanismo é inócuo e apenas pretende manter o firmware da placa-mãe sempre atualizado, para evitar outros problemas. No entanto, os investigadores descobriram que é possível usar esta porta para instalar malware, em vez da atualização indicada pela fabricante. Por estar colocado no firmware, fora do sistema operativo, é ainda mais difícil detetar ou remover esta ameaça.
John Loucaides, que lidera a equipa que fez a descoberta, explica que “se têm uma destas máquinas, devem estar preocupados com o facto de que basicamente elas estão a agarrar em algo da Internet e a executar, sem que os utilizadores estejam envolvidos”, cita o ArsTechnica.
A Eclypsium identifica os 271 modelos de placas-mãe afetados e complementa que a descoberta foi feita depois de analisar ataques cada vez mais frequentes, que apontam ao firmware. Além da desconfiança trazida por haver um fabricante a instalar silenciosamente esta backdoor, sem avisar os utilizadores, os investigadores criticam ainda que o mecanismo foi implementado com falhas evidentes. O download do código para a máquina é feito sem autenticação e por vezes em ligações menos seguras, HTTP, em vez de HTTPS, o que permite ataques de MITM (man in the middle) por qualquer pirata que possa intercetar a ligação à Internet.
Apesar de a Gigabyte não ter comentado o tema oficialmente, fonte da Eclypsium afirma estar a trabalhar com a fabricante na partilha das descobertas e que a Gigabyte tem também os seus planos para corrigir o problema.
