Gigabyte ha tenido una mala semana en el terreno de la publicidad debido a una táctica realmente extraña de mantener actualizadas sus placas base. Unos investigadores detectaron una posible puerta trasera instaladas en el BIOS, y tras investigarlo un poco más la cosa fue a peor. Otros fabricantes usan puertas traseras similares, que si no están bien implementadas pueden ser un problemón mayúsculo. Y efectivamente, Gigabyte no la ha implementado bien.
Una vez de dominio público, Gigabyte ha distribuido nuevos BIOS para al menos 271 de sus placas base, sobre todo las de chipset series 600 y 700 de Intel y 400 y 500 de AMD, para añadir medidas de seguridad adicionales. Porque el problema es que el BIOS comprueba los servidores de Gigabyte e inicia la descarga de un archivo de actualización, que no sería un problema si no fuera porque lo hace de manera insegura.
Como el proceso de descarga se inicia desde el BIOS, es prácticamente invisible al usuario. No se puede cambiar ni desactivar; solo se podrían bloquear las URL que contacta cuando hay conexión a internet. Si un atacante engañara para redirigir las consultas a otros servidores, mediante impostación, el BIOS descargaría y ejecutaría programas maliciosos, potencialmente instalando un encubridor (rootkit). No es difícil de conseguir, porque las solicitudes se hacen por HTTP en lugar de HTTPS, ni los archivos descargados desde los servidores de Gigabyte tienen firma digital.
Las actualizaciones distribuidas por Gigabyte añaden verificación de firma a este proceso para que no se pueda ejecutar cualquier archivo, y añade HTTPS a todas las comunicaciones para asegurarse de que solo contacta con los auténticos servidores de Gigabyte. Por ahora las actualizaciones distribuidas son solo para una parte de las placas base afectadas. En breve habrá actualizaciones para las de serie 400 y 500 de Intel y las de serie 600 de AMD.
Vía: TechPowerUp, Ars Technica.