时间来到2026年。随着机器人变得令人不安地类人化,人工智能的崛起正引发关于人类未来的讨论。然而,不知何故,AMD的Windows驱动程序自动更新程序仍然在不安全地下载软件(网络存档链接)。这一发现由一位仅被称为保罗(Paul)、立志成为安全研究员的新西兰人士披露,他在一篇博客文章中公布了其发现,但该文章随后“因收到请求而被暂时下架”。目前尚不清楚AMD是否已直接验证此漏洞,但作者确实指出下架是暂时的,此事已在网上引发了强烈关注。
据保罗称,当自动更新程序找到符合条件的更新时,它会通过不安全的连接进行下载。这为攻击者打开了方便之门:同一网络内或更下游的攻击者可以轻易伪装成AMD的网站,或在传输过程中修改下载内容,添加间谍软件或勒索软件——而且同样拥有管理员权限。
保罗表示,他采取了负责任的做法,立即向AMD报告了此问题,却只得到了一个有些程式化的回复,称中间人攻击“不在考虑范围之内”,暗示这个漏洞将不会被修复。虽然保罗没有具体说明,但他很可能是通过AMD的漏洞赏金计划报告此事的,这意味着他的工作将不会获得奖励。
尽管从技术上讲,AMD代表的说法是正确的(常被称为最正确的那种正确),但如果情况真如描述的那样,那么攻击者需要跨越的门槛就极低。最简单的方法是将ati.com域名重定向到他们自己的恶意软件分发服务器,因为自动更新程序会盲目信任它;或者拦截下载并修改内容,因为不安全的连接不提供完整性检查。
鉴于AMD的产品存在于众多计算机中,潜在的攻击面可能高达数百万台。绝大多数用户让他们的设备自动连接到已知的Wi-Fi网络这一事实,只会让情况雪上加霜。
更糟糕的是,如果这些发现属实,很难确定更新以这种方式交付了多久。一些搜索表明,该自动更新程序可追溯到2017年,尽管很难确定这个具体的下载处理程序是何时投入使用的。最坏的情况是,我们谈论的可能是近十年来面向全球的不安全软件交付方式。
保罗是在注意到他的新游戏电脑上弹出一个未经请求的控制台窗口时发现此问题的。研究人员被轻视后的愤怒非同小可,因此他迅速追踪该窗口至AMD的自动更新程序,用他自己的话说,他选择“通过反编译来惩罚这个软件”。这很快就找到了软件获取可用更新列表的链接,该链接被奇怪地命名为“Devlpment”链接(原文如此)。
该列表是通过HTTPS链接安全交付的,但令保罗沮丧的是,实际的驱动程序包本身使用的是标准的HTTP链接。这意味着它们缺乏HTTPS的两大主要优势:远程服务器(此处为ati.com)的身份验证,以及传输数据在修改面前的完整性保障。
如果这一切属实,人们只能希望AMD能认识到这个错误并立即修复问题,并为保罗的侦查工作授予赏金。
