HP Touchpoint Analytics è un servizio che viene fornito già dal 2014 come parte integrante di HP Support Assistant. Preinstallato nella maggior parte dei sistemi HP, Touchpoint Analytics raccoglie informazioni diagnostiche – in forma anonima – sulle performance dell’hardware. Si tratta insomma di un meccanismo di telemetria che HP ha deciso di inserire sulle sue macchine.
Come aveva evidenziato a suo tempo HP, Touchpoint Analytics non condivide alcun dato con la società, a meno che ciò non venga esplicitamente permesso dall’utente. Inoltre, gli utenti possono esercitare l’opt-out o disinstallare il servizio in qualunque momento.
Il fatto è che Peleg Hadar, ricercatore presso SafeBreach Labs, lo scorso 4 luglio ha segnalato a HP che tutte le versioni di Touchpoint Analytics al di sotto della release 4.1.4.2827 presentano un importante problema di sicurezza.
Dal momento che Touchpoint Analytics resta in esecuzione con i privilegi SYSTEM
, un aggressore può sfruttare una lacuna di sicurezza per eseguire codice arbitrario utilizzando i diritti più ampi. Hadar ha spiegato che ciò può succedere perché le versioni vulnerabili di Touchpoint Analytics non effettuano un controllo sulle librerie DLL caricate e vengono caricati file sprovvisti di firma digitale.
Nel frattempo HP ha risolto il problema che non esiste più nelle ultime versioni di Touchpoint Analytics. Il ricercatore, tuttavia, tiene a precisare che qualunque macchina utilizzi il pacchetto Open Hardware Monitor potrebbe essere a rischio.
“Decine di milioni di computer usano ancora oggi Open Hardware Monitor come parte integrante di sistemi di monitoraggio (accesso ai dati dei sensori di temperatura, velocità di rotazione delle ventole, tensioni, velocità di clock, n.d.r.) e tra questi c’è anche HP Touchpoint Analytics“, si osserva da SafeBreach.
La lacuna di sicurezza è stata risolta da HP il 4 ottobre scorso con il rilascio della release 4.1.4.2827 di Touchpoint Analytics (vedere questo bollettino).