I mini PC cinesi con il malware venduti anche in Italia: il caso ACEMAGIC

[enos76]

Riporto in breve la mia esperienza.

A giugno dell'anno scorso ho acquistato in offerta tramite Amazon questo PC NIPOGI 5500U, prodotto dalla stessa Shanminheng Technology che fa gli ACEMAGIC. Fortunatamente trattandosi di un marchio nuovo ho fatto la dovuta attenzione.

Sin dalla prima accensione non riuscivo ad aprirci le impostazioni della barra applicazioni di Windows 11, che crashavano sistematicamente. Dopo avere reinstallato Windows è rimasto un device che aveva l'ID di una scheda di rete Intel, ma che non ne voleva sapere di accettare il relativo driver (backdoor hardware?). Anche il BIOS sembrava customizzato e il PC aveva alcuni evidenti difetti di progettazione. Per tutti questi motivi non ho avuto dubbi nello spianare il disco, resettare le mie password e fare il reso. Al tempo avevo altro per la testa e trattandosi di un dispositivo mio personale non ho ne ho fatta l'analisi forense.

Il venditore mi ha dapprima dato svariati consigli banali che non hanno funzionato, poi ha accettato il reso di buon grado, proponendomi anche dapprima uno sconto e poi perfino di rimborsarmi interamente senza dovere spedire il PC indietro (non scherzo). Io gli ho detto no grazie e glie lo ho rimandato indietro. Se ben ricordo a posteriori avevo anche accennato della cosa alla nostra "Agenzia per la Cybersicurezza Nazionale".

[piwi]

Che zozzerie. A questo punto mi chiedo se qualcosa non sia nascosto nel più "cinese" dei PC che ho in casa ... un Tablet X86 Chuwi del 2020 ... Non ho mai avuto alcun sospetto perchè è arrivato con un Windows 10 Home all'apparenza "pulito" come se l'avessi installato io. Nessun software di terze parti, nessun comportamento sospetto, nessuna inibizione.

[marcram]

Quote:

Originariamente inviato da piwi

Che zozzerie. A questo punto mi chiedo se qualcosa non sia nascosto nel più "cinese" dei PC che ho in casa ... un Tablet X86 Chuwi del 2020 ... Non ho mai avuto alcun sospetto perchè è arrivato con un Windows 10 Home all'apparenza "pulito" come se l'avessi installato io. Nessun software di terze parti, nessun comportamento sospetto, nessuna inibizione.

Allora dovresti preoccuparti prima degli Asus che hai in firma...
https://www.pcmag.com/news/malware-t...e-motherboards

[piwi]

Che palle ... ! Li', però, c'è scritto che sono vulnerabili le schede basate su H81 ... Io dovrei "girarci intorno"

[marcram]

Quote:

Originariamente inviato da piwi

Che palle ... ! Li', però, c'è scritto che sono vulnerabili le schede basate su H81 ... Io dovrei "girarci intorno"

Anche qui c'è scritto che sono coinvolti solo gli Acemagic modello xyz prodotti da quel giorno a quel giorno... Ma si finisce per generalizzare a tutti i prodotti cinesi...

Quello che cerco di dire, è che è stato trovato malware (o almeno bloatware con grosse falle di sicurezza) preinstallato negli Asus, nei Dell, negli HP, nei Lenovo, negli Acer...
E la gente continua a comprarli (o anche consigliarli come marchi "sicuri"...)
Perché mai un "presunto" malware su un dispositivo cinese dovrebbe scandalizzarci?

[giovanni69]

Quote:

Originariamente inviato da enos76

proponendomi anche dapprima uno sconto e poi perfino di rimborsarmi interamente senza dovere spedire il PC indietro (non scherzo). Io gli ho detto no grazie e glie lo ho rimandato indietro. Se ben ricordo a posteriori avevo anche accennato della cosa alla nostra "Agenzia per la Cybersicurezza Nazionale".

Questa cosa mi fa sempre più pensare che al venditore bastasse che il PC rimanesse in circolazione... sperando che l'avresti ceduto a parenti ed amici meno esigenti di te.

[azi_muth]

Quote:

Originariamente inviato da marcram

Allora dovresti preoccuparti prima degli Asus che hai in firma...
https://www.pcmag.com/news/malware-t...e-motherboards

La grande differenza è che non sono state Asus e Gigabyte a installare il malware. Di fatto Kaspersky non sa come il malware sia arrivato su quelle mobo ma è possibile che siano state infettate prima da altri malware. Inoltre sono stati scoperti in PC di seconda mano. A quanto pare chi li ha venduti ha trovato il tempo di infettare i PC di quella partita.
Questo lo segnalerei a chi mi prende per matto quando dico che a comprare modem 5g usati dalla Cina si rischia qualcosa.

[marcram]

Quote:

Originariamente inviato da azi_muth

La grande differenza è che non sono state Asus e Gigabyte a installare il malware. Di fatto Kaspersky non sa come il malware sia arrivato su quelle mobo ma è possibile che siano state infettate prima da altri malware. Inoltre sono stati scoperti in PC di seconda mano. A quanto pare chi li ha venduti ha trovato il tempo di infettare i PC di quella partita.
Questo lo segnalerei a chi mi prende per matto quando dico che a comprare modem 5g usati dalla Cina si rischia qualcosa.

Vero, non avevo letto tutto l'articolo.
Comunque ci sono altri casi, per rimanere con Asus, come questo:
https://www.forbes.com/sites/kateofl...whos-affected/
in cui hanno usato il sistema preinstallato per gli aggiornamenti, per installare malware...
Oppure questo:
https://www.engadget.com/2008-10-14-...es-recall.html

Certo, sono solo casi (altri produttori hanno fatto di peggio...)
Ma anche nel caso di Acemagic, stando alle dichiarazioni del produttore, non si trattava di veri malware, ma di modifiche non certificate...

[supertigrotto]

Prendo in considerazione due cose visto che vorrei prendermi un mini PC,o su Amazon o su AliExpress,la prima è che vendono vari mini PC (anche minisforum,geekom,beelink,teclast etc) anche senza RAM e SSD,quindi penso che il sistema operativo te lo devi installare da solo ma comunque costano meno, così è più semplice la cosa,scegli tu RAM e SSD in base alle esigenze e,a meno che il malware sia nel firmware o nel uefi,si possono dormire sonni tranquilli, l'altra considerazione è che i mac mini sono piu economici rispetto a una volta,vero che magari bisogna abituarsi a mac os o osx e magari fare un pagamento rateale ma,per lo meno si ha un prodotto sicuro e che tiene un po' di valore nel tempo.

[gabmac2]

Quote:

Originariamente inviato da supertigrotto

Prendo in considerazione due cose visto che vorrei prendermi un mini PC,o su Amazon o su AliExpress,la prima è che vendono vari mini PC (anche minisforum,geekom,beelink,teclast etc) anche senza RAM e SSD,quindi penso che il sistema operativo te lo devi installare da solo ma comunque costano meno, così è più semplice la cosa,scegli tu RAM e SSD in base alle esigenze e,a meno che il malware sia nel firmware o nel uefi,si possono dormire sonni tranquilli, l'altra considerazione è che i mac mini sono piu economici rispetto a una volta,vero che magari bisogna abituarsi a mac os o osx e magari fare un pagamento rateale ma,per lo meno si ha un prodotto sicuro e che tiene un po' di valore nel tempo.

"che il malware sia nel firmware o nel uefi"
in quel caso cosa può fare?
è questo che mi chiedo anche io
se si formatta, si elimina il problema solo a livello superiore

[Takuya]

Quote:

Originariamente inviato da gabmac2

"che il malware sia nel firmware o nel uefi"
in quel caso cosa può fare?
è questo che mi chiedo anche io
se si formatta, si elimina il problema solo a livello superiore

Dicono che Defender sia in grado di scansionare anche l'UEFI

[azi_muth]

Quote:

Originariamente inviato da marcram

Vero, non avevo letto tutto l'articolo.
Comunque ci sono altri casi, per rimanere con Asus, come questo:
https://www.forbes.com/sites/kateofl...whos-affected/
in cui hanno usato il sistema preinstallato per gli aggiornamenti, per installare malware...
Oppure questo:
https://www.engadget.com/2008-10-14-...es-recall.html

Certo, sono solo casi (altri produttori hanno fatto di peggio...)
Ma anche nel caso di Acemagic, stando alle dichiarazioni del produttore, non si trattava di veri malware, ma di modifiche non certificate...

Continuo a pensare che non sia possibile mettere sullo stesso piano Asus e produttori cinesi che oggi esistono e domani no.
Se leggi i due casi, in cui il primo è veramente è roba di alto livello perchè tutto l'attacco è stato fatto per colpire chirurgicamente 600 mac address, sembra ci sia un problema nella supply chain...magari in qualche punto della catena il fornitore dei DVD di installazione o delle Eprom (faccio per dire) ha avuto un dipendente infedele che ha caricato un virus dove non doveva.
C'è sicuramente un problema di controllo, ma almeno con un grande produttore visto la grande visibilità ha tutto l'interesse a correre ai ripari e stringere la sicurezza, un produttore che oggi c'è e domani no potrebbe benissimo farlo in modo doloso oppure non avere i mezzi per controllare adeguatamente la filiera.

[marcram]

Quote:

Originariamente inviato da azi_muth

Continuo a pensare che non sia possibile mettere sullo stesso piano Asus e produttori cinesi che oggi esistono e domani no.
Se leggi i due casi, in cui il primo è veramente è roba di alto livello perchè tutto l'attacco è stato fatto per colpire chirurgicamente 600 mac address, sembra ci sia un problema nella supply chain...magari in qualche punto della catena il fornitore dei DVD di installazione o delle Eprom (faccio per dire) ha avuto un dipendente infedele che ha caricato un virus dove non doveva.
C'è sicuramente un problema di controllo, ma almeno con un grande produttore visto la grande visibilità ha tutto l'interesse a correre ai ripari e stringere la sicurezza, un produttore che oggi c'è e domani no potrebbe benissimo farlo in modo doloso oppure non avere i mezzi per controllare adeguatamente la filiera.

Certamente, c'è la possibilità che siano più controllati visto che sono grandi marchi, ma sul dolo non ne sarei così sicuro.
Certo, questi casi di Asus sono più riconducibili a degli incidenti, ma questi, ad esempio?
https://www.bbc.com/news/technology-42309371
https://www.hwupgrade.it/news/sicure...nte_56120.html
https://thehackernews.com/2015/11/su...ware-dell.html

Alla fine, il discorso non cambia, che sia Lenovo, Dell, Hp... o cinese, io la prima cosa che faccio è piallare il disco.
A quel punto, non vedo tutta sta differenza tra i vari prodotti, se non il costo.

[gabmac2]

Quote:

Originariamente inviato da Takuya

Dicono che Defender sia in grado di scansionare anche l'UEFI

a livello free cosa conviene utilizzare, quindi?
Defender sarebbe in grado di "rimuovere" a livello uefi?
dubito.....
grazie

[azi_muth]

edited

[Takuya]

Quote:

Originariamente inviato da gabmac2

a livello free cosa conviene utilizzare, quindi?
Defender sarebbe in grado di "rimuovere" a livello uefi?
dubito.....
grazie

Può scansionare l'UEFI ma ovviamente non può rimuovere nulla, devi procedere col flash per toglierlo: https://learn.microsoft.com/en-us/mi...r for Endpoint

[azi_muth]

Quote:

Originariamente inviato da marcram

Certamente, c'è la possibilità che siano più controllati visto che sono grandi marchi, ma sul dolo non ne sarei così sicuro.
Certo, questi casi di Asus sono più riconducibili a degli incidenti, ma questi, ad esempio?
https://www.bbc.com/news/technology-42309371
https://www.hwupgrade.it/news/sicure...nte_56120.html
https://thehackernews.com/2015/11/su...ware-dell.html

Alla fine, il discorso non cambia, che sia Lenovo, Dell, Hp... o cinese, io la prima cosa che faccio è piallare il disco.
A quel punto, non vedo tutta sta differenza tra i vari prodotti, se non il costo.

Sul dolo ci credo poco. Non hanno bisogno di vendere i dati per campare. Inoltre in qualche caso vendono soluzioni per la sicurezza informatica.
Questi incidenti sono estremamente dannosi oltre che per la loro reputazione anche per il loro bilancio.
L'aziendina cinese da due spicci che non alcun nome da difendere, non vende soluzioni rivolte al mercato di sicurezza informatica invece è più facile che sia ingolosita da soldi ottenibili in modo meno lecito o quanto ha un controllo ancora più lasco sulla rete dei fornitori e subfornitori. Perchè comunque biosogna ricordarsi che queste aziende spesso non producono proprio nulla ma progettano se non addirittura semplicemente marchiano e rivendono prodotti fatti da altri che a loro volta usano componenti fatti da altri. Insomma la catena è lunga. E se non ce la fa Dell o Hp a controllarla figuriamoci il cantinaro cinese.
Il fatto che tu formatti il disco come già detto non ti mette al sicuro da malware nel UEFI.
Cmq è una buona pratica che andrebbe sempre seguita.

[gabmac2]

Quote:

Originariamente inviato da Takuya

Può scansionare l'UEFI ma ovviamente non può rimuovere nulla, devi procedere col flash per toglierlo: https://learn.microsoft.com/en-us/mi...r for Endpoint

nel caso formattazione + eventuale flash UEFI, rende sicuro al 100%?
oppure ci sono ancora altri fattori di rischio?

[386DX40]

Considerando il bios UEFI un o.s. esso stesso che verrà abbandonato praticamente nel giro di pochi anni con i suoi moduli firmware/driver installati per funzionalità es. mouse, grafica, TCP/IP stack, etc, la fiducia che viene normalmente posta in esso è totale senza alcuna informazione e persino su marchi high end. Ma nel momento in cui un problema all' UEFI di un' azienda multinazionale con decine di migliaia di dipendenti, potrebbe creare un danno non solo d' immagine enorme, "si spera" che alla fonte un minimo di controllo e aggiornamento ci sia.

Se domani nascono decine di nuovi marchi che sfornano mini PC o smartphones di cui per alcune non si sa nemmeno dove sia la sede figuriamoci sui territori locali (ho comprato un mini PC di un brand sconosciuto che ha come supporto una mail privata e un nome/indirizzo del costruttore che fatico credere esistente), sistema operativo a parte e tralasciando la qualità di saldature e PSU (!) per utilizzo full time, chi di fatto programma, compila, rilascia, testa e certifica il bios UEFI? Non si saprà mai per cui lo si prende per buono a prescindere ma non è certo un buon presupposto.

[enos76]

Quote:

Originariamente inviato da giovanni69

Questa cosa mi fa sempre più pensare che al venditore bastasse che il PC rimanesse in circolazione... sperando che l'avresti ceduto a parenti ed amici meno esigenti di te.

Come si dice.. "A pensare male si fa peccato, ma ci si azzecca spesso".

Ora che ricordo meglio, probabilmente lo aveva fatto affinché cambiassi la dettagliata recensione lasciata su Amazon, in cui spiegavo in dettaglio la dozzina di problemi di cui il computer era afflitto. Io ho finito per concedergli il beneficio del dubbio, togliendo la recensione spontaneamente e gratuitamente, dopo che si era impegnato a valutare attentamente tutti i problemi da me riportati. Col senno di poi ho fatto male, ma in quel periodo avevo altro per la testa.