O nouă problemă de securitate pentru Lenovo: La ce sunt expuși utilizatorii

de: Andrada Bonea
06 05. 2015

Compania Lenovo a fost acuzată că ar avea probleme mari în ceea ce privește securitatea, din cauza vulnerabilităților din serviciul de actualizare online. Asta după scandalul Superfish de la începutul anului.

Se pare că din cauza actualelor vulnerabilități, hackerii pot descărca programe periculoase în sistemele utilizatorilor printr-un atac de tip MITM (man-in-the-middle). Lenovo a preinstalat pe mai multe computere, între septembrie 2014 și ianuarie 2015, o aplicație de tip adware care a expus utilizatorii la riscuri majore de securitate. Superfish era capabil și să înlocuiască certificatele SSL ale sistemului, reducând la zero securitate oferită de conexiunile HTTPS.

Problemele au fost arătate de firma de securitate IOActive, la câteva săptămâni după ce s-a aflat că Lenovo distribuia computere cu Superfish preinstalat. Cercetătorii au descoperit vulnerabilitățile în februarie, dar le-au oferit celor de la Lenovo ocazia de a le repara, înainte de a le face publice, notează SC Magazine.

Una dintre vulnerabilități, CVE-2015-2233, permite hackerilor să treacă de verificările validității semnăturii și să înlocuiască aplicații Lenovo cu software-uri rău intenționate. CVE-2015-2219, alt bug, permite accesul și rularea programelor și comenzilor malițioase. O altă slăbiciune, CVE-2015-2234, permite efectuarea comenzilor pe care, în mod normal, doar administratorul de sistem le poate da.

Sofiane Talmat, consultant în securitate pentru IOActive, a confirmat pentru SCMagazine că Lenovo a rezolvat problemele, dar că utilizatorii trebuie să descarce ultima versiune a Lenovo System Update pentru a fi siguri.

Actualizare

Acest articol a fost completat cu declarația oficială a celor de la Lenovo:

„Echipele Lenovo de dezvoltare şi securitate au colaborat în mod direct cu IOActive referitor la vulnerabilităţile aplicaţiei System Update depistate de aceştia din urmă şi apreciem expertiza acestora pentru identificarea şi raportarea lor cu responsabilitate. Lenovo a lansat pe 1 aprilie o versiune actualizată a aplicaţiei System Update care soluţionează aceste vulnerabilităţi. Am publicat ulterior, in colaborare cu IOActive, o notă de securitate, disponibilă aici.  În situaţia în care aplicaţia System Update a fost deja instalată, utilizatorului i se cere să instaleze versiunea actualizată de îndată ce aplicaţia rulează. Ca soluţie alternativă, utilizatorii pot actualiza manual System Update, urmând paşii descrişi în nota de securitate. Lenovo recomandă tuturor utilizatorilor să actualizeze aplicaţia System Update pentru a elimina vulnerabilităţile raportate de IOActive. În general, Lenovo recomandă utilizatorilor săi să permită actualizarea automată a sistemelor, pentru a avea în permanenţă acces la cele mai nou software disponibil.”

.