西数固态硬盘用户注意：马上升级电脑中的Dashboard软件

来源:PCEVA

2019-08-05

近日来自Trustwave的安全研究人员发现，西部数据的SSD Dashboard工具箱软件程序存在2个安全漏洞，可能导致用户系统信息泄露并可能被利用安装恶意软件。

第一个安全漏洞是所有2.5.1.0版本之前的SSD Dashboard软件都使用HTTP网络协议与Web服务器进行通信。

这可能受到MITM中间人攻击而导致系统信息泄露、被攻击者控制电脑下载和执行恶意代码等。西数在新版本工具箱中改用HTTPS来修复该漏洞。

第二个安全漏洞来自生成报告功能，该功能用来提交系统信息给西数的售后技术支持人员。由于软件代码中使用了“硬编码的密码”，即每次加密都使用完全相同的密码，有可能导致潜在敏感信息泄露。

硬编码密码往往是程序员偷懒的结果。无独有偶，2016年联想也曾被发现在文件共享软件中使用“12345678”作为硬编码密码。

西数在新版本SSD Dashboard中取消了在线提交报告文件的功能，需要用户手动发送电子邮件。依然在偷懒，但至少更安全。

固态硬盘工具箱软件通常会在安装后常驻Windows后台以执行健康度监测等功能，安全漏洞都可能带来广泛的影响。电脑中安装有西数SSD Dashboard软件的朋友请尽快升级至2.5.1.0版本。

责任编辑：焦旭