Al jaren wordt gewaarschuwd voor de verspreiding van malware door schakels in de supply chain. Sinds iets meer dan een week is AceMagic, maker van mini-pc’s, hierdoor in de problemen beland en het ziet er niet goed uit.
Het is moeilijk te achterhalen wanneer voor het eerst in Nederland is gewaarschuwd voor standaard apparaten met malware bevatten die er tijdens het productieproces op was geïnstalleerd. Er zijn wat cases bekend van smartphones en tablets uit de periode voor 2018, maar daarbij ging het om meldingen uit het buitenland die een op een werden overgenomen. Daarvoor was het verschijnsel weliswaar ook al bekend, maar het gold meer als een theoretische aanvalsvector. De producten die daarvoor in de gaten werden gehouden waren vooral servers en netwerkapparatuur. Het type device dat sowieso niet achteloos wordt aangesloten en aangezet.
AceMagic
Met AceMagic is waarschijnlijk voor het eerst een producent betrapt op het verschepen van devices die wel direct worden aangezet en die zijn voorzien van malware en backdoors. De online ophef is het bedrijf niet ontgaan. Op de website zijn excuses aangeboden en een verklaring gegeven over de bron van de ellende.
Het bedrijf deed zaken met een derde voor het pre-installeren van Windows. In die versies zat de malware. Daarmee is bevestigd dat het hier gaat om een supply chain aanval. Hoe bij die toeleverancier de Windows installers zijn besmet, met andere woorden hoe die keten er daar weer uitziet, is verder niet verteld. AceMagic geeft aan dat de software nu door een ander bedrijf wordt geleverd en pre-installed.
Onaangename wending
Het verhaal krijgt echter een onaangename wending als we deze bron mogen geloven. Dat het verhaal klopt lijkt bevestigd te worden door gelijkende meldingen op Reddit. De Windows versie is nu “schoonâ€, de chrome browser is dat echter niet. Die is standaard ingesteld met een redelijk beruchte “zoekmachine†die alom wordt omschreven als “browser hijackerâ€.
EU aandacht
De maker van deze computers heeft de supply chain duidelijk niet onder controle. Dit is van de regen in de drup. Zelf al zal het marktaandeel verwaarloosbaar klein zijn in de EU, de kans dat deze affaire nog even kan rekenen op aandacht is aanwezig.
AceMagic levert direct of via platformen als Amazon. In dit soort gevallen zal dat met retouren nog wel een uitdaging worden. Het lijkt immers logisch dat klanten de hardware zullen terugsturen en de volledige kosten vergoed willen zien.
Binnen de EU kan deze affaire dienen als testcase om nieuwe regelgeving rond zowel cybersecurity als aansprakelijkheid van online marktplaatsen en leveranciers te testen.
