Независимый аудит показал, что большинство таких утилит отличаются крайне низким качеством кода, который позволяет злоумышленникам проводить атаки на системы, где установлены подобные программы. Программное обеспечение, поставляемое производителями материнских плат вместе со своими продуктами, включая утилиты для разгона, управления вентиляторами и RGB-подсветкой, несёт с собой потенциальную опасность. Различным уязвимостям подвержены программы авторства ASUS и Gigabyte, причём производители материнских плат игнорируют предупреждения исследователей, и не исправляют имеющиеся проблемы.
Однако в 90-дневный срок должным образом отреагировали на неприятные находки только в ASRock. Работающая в сфере компьютерной безопасности фирма SecureAuth выявила серьёзные проблемы в программном обеспечении ASUS, ASRock и Gigabyte ещё в апреле-мае, и как того требуют принятые нормы, приватно уведомила разработчиков об этом. Программное обеспечение ASUS и Gigabyte остаётся подверженным атакам даже сегодня, когда сведения об уязвимостях и способах их использования оказались выложены в открытый доступ.
07. Проблемы с продуктами ASUS кроются в коде драйверов GLCKIo и Asusgio, которыми пользуется, в частности, утилита Aura Sync v1. Согласно отчёту SecureAuth, имеющиеся уязвимости делают возможным запуск злоумышленником собственного кода с повышенными привилегиями. 22 (и более ранних версий). Актуальные версии Aura Sync, доступные на сайте ASUS, продолжают содержать опасные ошибки. Причём, хотя ASUS и обещала исправить ситуацию в новых версиях своего программного обеспечения, на деле этого не произошло.
Различные недостатки были найдены в утилитах Gigabyte App Centre, Aorus Graphics Engine, Extreme Gaming Engine и OC Guru II – все они используют драйверы GPCIDrv и GDrv. В утилитах компании Gigabyte дыр ещё больше. Реакция же разработчиков Gigabyte на сообщения о проблемах тоже оказалась не совсем адекватной: они полностью отрицают наличие каких-либо уязвимостей и, соответственно, отказываются их устранять. Здесь атакующая сторона, имеющая локальный доступ к системе, может вообще получить над ней полный контроль.
На данный момент у специалистов SecureAuth к утилитам этого производителя нареканий больше нет. Зато до обнародования информации об уязвимостях успела исправить своё программное обеспечение компания ASRock.
Настораживает другое: производители материнских плат оказались крайне закрыты для взаимодействия со специалистами по безопасности и не желают заделывать найденные, подтверждённые и задокументированные бреши. Впрочем, после нахождения проблем масштабов Spectre и Meltdown, которые затронули весь микропроцессорный рынок, подобные сообщения о каких-то уязвимостях в утилитах к материнским платам вряд ли способны вызвать у пользователей панические настроения. Всё это вызывает вполне обоснованные вопросы относительно принятой у таких производителей культуры разработки программного обеспечения.
