膨脹件

訊北京時間6月1日消息，據科技網站CNET報道，當地時間周二，安全公司Duo Security旗下研究部門Duo Labs發表調查報告稱，宏碁、華碩、戴爾、惠普和聯想筆記本預裝的軟件更新工具，均包含有至少一處危急安全缺陷，黑客可以輕松利用這些缺陷興風作浪。Duo Labs在所有PC廠商預裝的軟件中發現12處不同的安全缺陷。

PC廠商預裝軟件包括對產品注冊的軟件以及讓用戶免費試用30天的軟件，它們通常被稱為膨脹件，因為它們基本上沒有什么用途，也不是應用戶要求安裝的。據Duo Labs稱，膨脹件不僅是多余的，還經常成為安全鏈條上的薄弱環節。

安全研究人員達倫·肯普(Darren Kemp)周二發表博文稱，“黑客利用大多數這些缺陷興風作浪的難度不高。”

Duo Labs的調查突顯了非必要軟件的風險。用戶很少使用，甚至不知道筆記本上安裝有這些軟件，它們通常不會得到及時更新，很容易成為黑客攻擊的靶子。報告指出，PC廠商還沒有在這些更新工具中采取基本的安全措施。膨脹件不僅僅令人討厭，還會帶來安全風險。

報告稱，真正讓人沮喪的是，筆記本用戶對于由廠商更新工具造成的安全缺陷基本上無計可施，消除這些安全風險需要大量時間和精力：研究團隊建議用戶清除OEM系統，重新安裝沒有膨脹件的Windows拷貝，卸載任何不必要的軟件。

Duo Labs已經向PC廠商通報了它們軟件中的缺陷，部分缺陷已經被修復。Duo Labs之所以選擇研究這些品牌，是因為它們的產品受到用戶青睞。Duo Labs稱，在許多情況下，使用OEM更新工具中的加密技術，能提高缺陷被黑客利用的難度。

Duo Labs稱，惠普已經修正了其更新工具中的高風險缺陷，聯想將發布更新包，卸載旗下所有筆記本中的問題軟件。宏碁和華碩承認它們的產品存在缺陷，但尚未發布補丁軟件。在Duo Labs接洽前，戴爾就發布了一款更新包，修正其產品存在的多個缺陷。