安全公司Eclypsium的研究人员公开披露，戴尔、惠普、联想等公司销售的数百万Windows和Linux系统容易受到攻击，因为外围组件的固件没有签名。

据研究人员称，至少从2015年开始，供应商和攻击者都知道这种攻击媒介。然而，供应商似乎并不急于签署其固件。笔记本电脑摄像头、网络接口卡、触摸板、USB集线器和Wi-Fi适配器的未签名固件使数百万系统容易受到数据盗窃和勒索软件的攻击。

戴尔XPS 15 9560无线适配器

研究人员发现，可以修改XPS 15 9560无线适配器的固件，让攻击者接管设备。当联系戴尔、高通(其芯片为无线适配器供电)和微软时，这三家公司似乎互相指责。

高通说，运行在CPU顶部的软件应该验证固件的安全性。戴尔表示，正在与供应商合作，了解安全问题的影响，微软表示，驱动程序制造商需要确保固件的安全性。

惠普宽视场FHD相机

研究人员发现，惠普Spectre X360 13英寸敞篷笔记本电脑中的惠普宽视野FHD摄像头固件更新没有加密和认证检查。也可以使用惠普提供的工具轻松修改固件。

好消息是，惠普告诉Eclypsium研究人员，未来的相机将签署固件。但是，他们没有说明固件更新是否也将被加密。此外，惠普基本上表示，现有的相机和设备将保持脆弱。

联想ThinkPad触摸板和触摸板

研究人员还发现，联想ThinkPad X1 Carbon第六代笔记本电脑的触摸板固件存在安全问题-Synaptics触摸板和Trackpoint的固件没有收到加密和签名更新。

联想告诉Eclypsium，它意识到了这个问题，并鼓励其供应商为子孙后代解决这个问题。

Synaptics PC部门副总裁Stephen Schultis似乎对这个问题更加不屑一顾，认为其固件不需要密码签名，因为代码是专有的。Schultis建议，因为代码是专有的，这意味着攻击者很难利用它。

然而，现实是另一回事。供应商已经成为供应链攻击的目标，这种攻击在过去几年中有所增加，因为在电脑中使用组件意味着您可以接管数百万台电脑。

此外，专有代码很少能阻止坚定的攻击者，尤其是当访问固件像购买带有Synaptics触摸板的笔记本电脑一样容易时。

Usb集线器和Broadcom网络接口卡

研究人员还研究了Linux厂商的固件服务，发现了未签名的USB集线器固件。他们还攻击了Broadcom BCM5719芯片组的未签名固件，该固件用于当前服务器中包含的许多网络接口卡。

该卡连接到PCI总线，可以直接访问内存，因此可以完全接管服务器。博通尚未就此问题发表声明。

那么，谁需要修复外设固件安全呢？

经过所有这些研究，Eclypsium的研究人员甚至对谁负责固件安全(如果有的话)感到困惑。但是，他们不认为驱动程序的安全性应该位于驱动程序内部，因为拥有计算机特权访问权限的恶意方可以轻松地用干净的固件替换恶意固件。

因此，驱动程序本身以外的其他安全层需要防止这种情况发生。最近我们看到攻击者开始了这种攻击，因为它也绕过了防病毒保护。

Eclypsium的研究人员也发出了一个可怕的警告，这种类型的攻击不能被用户轻易缓解，但目前来看，这些攻击的最大目标可能是企业公司和数据中心。这些攻击允许数据泄漏和勒索软件，使其非常适合商用计算机和服务器。