– Att Acer installerar bakdörrar på sina laptops anser jag är oerhört kritiskt eftersom detta enkelt kan missbrukas av obehöriga för att fullständigt kontrollera systemen, säger Marcus Murray, konsult på säkerhetsföretaget Truesec.

Hans oro delas av Thomas Kristensen på danska säkerhetsföretaget Secunia som satt upp Acers datorer på listan över så kallade highly critical-problem.

– Vi ser det som ett allvarligt problem att leverantörer förinstallerar program som deras kunder inte bett om och inte kan skydda sig emot eftersom de inte vet att de existerar, säger Thomas Kristensen.

Bakdörren på Acers datorer uppdagades först av Tan Chew Keong, tidigare anställd på Secunia men numera säkerhetskonsult i egen regi. Han lägger upp varningar för säkerhetshot på webbplatsen vuln.sg. Här visar han hur Acers bakdörr är konstruerad och att den funnits på företagets datorer sedan 1998 och finns kvar på nya modeller som Acer Aspire 5600.

Det handlar om en activex-kontroll kallad lunchapp.ocx som kan anropas från nätet.

– Det enda som krävs är att man får användaren av målsystemet att surfa till en webbplats där man lagt kod för att styra ActiveX-kontrollen. Det är fruktansvärt enkelt att styra denna. Kontrollen har en metod som heter ”run” och parametrar för folder och filnamn på vad som ska exekveras.

– I vårt labcenter har vi personal som jobbar heltid med penetrationstester och reverse-engineering och det är alltid lika chockerande när vi finner bakdörrar och sårbarheter som funnits i en produkt under flera år. Frågan man ställer sig varje gång är ju hur många i den undre världen som redan har kännedom om detta, säger Marcus Murray.

Något man givetvis kan undra över är om Acer medvetet har installerat denna bakdörr eller om det snarare handlar om klantig hantering av koden.

– Jag vill gärna tro att detta är omedvetet från Acers sida. Min gissning är att bakdörren skapades för länge sedan i ett syfte att kunna utföra vissa saker på klienterna och att det var under en tid när man inte hade samma inställning till säkerhet som i dag. Sedan har den levt vidare över tid och följt med i installationerna utan att någon reflekterat över konsekvenserna, säger Marcus Murray.


Moderna datorer ur Acer Aspire-serien finns bland de drabbade.

Acer har ännu inte, trots flera påstötningar från CS, velat kommentera saken. På Acers svenska kontor säger produktchefen Magnus Lilja att man inte känner till något om problemet men att han ska kontakta huvudkontoret för att få en förklaring.

Fakta

Många, kanske alla, av Acers datorer som levererats sedan 1998 har en förinstallerad bakdörr som gör att obehöriga kan ta kontroll över datorerna. Först med Internet Explorer 7 ställs frågan om man vill köra activex-kontrollen lunchapp.ocx, i tidigare versioner av webbläsaren kördes den igång automatiskt. Men inte heller med IE7 kommer någon varning om att detta öppnar en bakdörr till datorn.

Se Secunias varning
Läs Tan Chew Keong rapport
Microsofts spärr finns här