物联网还没有真正到来,但是据国外媒体报道,电池制造大厂Energizer在上周五(3/5)表示,该公司的充电器软件含有后门程序,可能导致黑客远端执行应用程序,呼吁使用者尽快更替,关于“物”联网的问题已经面世了。
Energizer表示,该公司先是收到美国网络危机处理中心(US CERT)的通知,才得知该公司针对Duo Charger充电器所设计的USB充电软件含有后门程序,Energizer已停止该产品的销售,以及关闭其软件下载网站,并呼吁使用者尽快更替所下载的软件。
Duo Charger为一镍氢电池(NiMH)充电器,同时允许使用者利用传统插座或USB进行充电,该产品售至美国、拉丁美洲、欧洲及亚洲等市场。Energizer并提供支援Mac及windows平台的UsbCharger软件下载,以让使用者可在电脑上检视充电状态。Energizer表示,仅有windows版软件含有后门程序,Mac版则否。
根据US CERT的说明,视窗版的充电器软件含有一Arucer.dll后门程序,可让其他人擅自远端存取系统,若使用者采用预设防火墙的Windows XP SP2以后的操作系统版本,在首次安装该软件时,系统会出现警告视窗,说明已封锁该程序的某些功能,假如使用者按下解封锁,便替该后门程序去除了防火墙的障碍。
CERT表示,该后门程序可取得使用者权限,并具备陈列目录、传送及接收文件以及执行程序的能力。虽然直接更替UsbCharger就能清除该安全漏洞,但CERT建议使用者除了更替UsbCharger软件外,应再更替存于system32目录中的Arucer.dll文件,以及回复防火墙对该程序的封锁。
Energizer目前尚不确定该后门程序如何被植入UsbCharger中,并正与CERT及美国政府官员研究中。
网友评论