MyASUS sérülékenység
A MyASUS szoftver súlyos biztonsági hiányosságot tartalmaz, beépített, módosíthatatlan hitelesítési tokeneket (hard‑coded credentials) fedeztek fel a telepített DLL‑ekben, amelyekkel akár jogosulatlan hozzáférés is kivitelezhető volt. A hibát CVE‑2025‑4569 és CVE‑2025‑4570 azonosítójú sérülékenységekként rögzítették, akik legalább medium (7.7 illetve 6.9) CVSS besorolást kaptak – az ASUS szerint már elérhetők a biztonsági javítások.
A biztonsági kutatásokat végző szakértők és közösségi források, rámutattak, hogy ezek a beágyazott kulcsok könyvtári fájlokban tárolódtak, könnyen visszafejthetők, és gyakorlatilag adminisztrátori szintű hozzáférést biztosíthattak akár többmilliós felhasználói adatbázishoz is. Az eszközök Android- vagy Windows-felhasználók adatait – például nevüket, telefonszámukat, címüket vagy támogatási jegy részleteit – is feltárhatták, ha valaki felismerte ezeket a tokeneket.
Az ASUS hivatalos bejelentésében hangsúlyozza, hogy a MyASUS alkalmazás, Armory Crate, DriverHub és a routeres alkalmazások kapcsán felmerült sebezhetőségi jelentésekre reagálva frissítéseket adott ki, és állítása szerint a korábban közölt hibákat már kijavították – így a felhasználók számára most különösen fontos a legújabb verziók telepítése.
