A Duo Security biztonsági cég kutatói tesztelték azokat a szoftverfrissítő programokat, amelyek előretelepítve megtalálhatók öt eredetiberendezés-gyártó (OEM) vállalat, az Acer, az ASUSTek Computer, a Lenovo, a Dell és a HP laptopjain. Azt állapították meg, hogy valamennyi program tartalmaz legalább egy súlyos sebezhetőséget, amely lehetővé teszi, hogy a támadók rendszergazdai jogokat szerezzenek, és tetszőleges kódot futtassanak távolról.
A legtöbb esetben a problémát az okozza, hogy a szoftverfrissítő programok nem titkosított HTTPS kommunikációt használnak, amikor megnézik, hogy vannak-e letölthető frissítések. Ezen túlmenően egyes programok végrehajtás előtt nem ellenőrzik, hogy a letöltött fájlokat digitálisan aláírta-e a gyártó.
A titkosítás nélküli kommunikációs csatorna a szoftverfrissítő eszköz és az OEM-gyártók szerverei között lehetővé teszi a kiberbűnözők számára, hogy elfogják a lekéréseket és rosszindulatú programot szolgáltassanak a szoftverfrissítő eszköz számára, amely aztán futtatja azt. Ez a man-ín-the-middle néven ismert támadási módszer többek között nem biztonságos vezeték nélküli hálózatokból és feltört routerekről indítható.
Egyes esetekben - amikor a gyártók titkosították a kommunikációt és ellenőrizték a digitális aláírást - más hiányosságok és sebezhetőségek tették lehetővé a támadóknak a biztonsági intézkedések megkerülését, olvashatjuk a kutatók jelentésében.
A frissítő eszközök biztonsága és viselkedése még ugyanazon a számítógépen sem volt konzisztens, nem hogy ugyanannál a gyártónál. Egyes esetekben a gyártók eltérő eszközöket használtak a különféle forrásokból származó frissítések letöltésére, amelyek eltérő szintű biztonsággal rendelkeztek. Így például a Lenovo Solutions Center (LSC) nevű programot az egyik legjobb szoftverfrissítőnek találták a kutató, amelyet megbízható védelemmel láttak el a man-ín-the-middle támadásokkal szemben. Ennek valószínűleg az áll a hátterében, hogy korábban hiányosságokat találtak a programban, ezért a gyártó jobban odafigyelt rá. Ugyanakkor a tesztelt Lenovo rendszereken volt egy második frissítő eszköz is, az UpdateAgent, amely semmilyen biztonsági funkcióval nem rendelkezett, és a Duo Security által vizsgált egyik legrosszabb frissítő program volt (szerencsére ezt a programot a tervek szerint júniusban nyugdíjba küldi és eltávolítja a számítógépekről a gyártó.
