Lenovo nie ma ostatnimi wiele szczęścia. Zaledwie trzy miesiące po głośnej luce bezpieczeństwa, wykrytej w oprogramowaniu jej laptopów na światło dzienne wyszedł kolejny problem. Według raportu zajmującej się sieciowym bezpieczeństwem firmy IOActive może on umożliwić hakerom na przejęcie pełnej kontroli nad zaatakowanym komputerem.
Znaleziony przez IOActive problem znajduje się w samym mechanizmie aktualizacji komputerów Lenovo. Błąd zawiera oprogramowanie Lenovo System Update w wersji 5.6.0.27 lub starszej. W jego wyniku haker może – znajdując się w tej samej sieci co użytkownik komputera – sfabrykować certyfikat bezpieczeństwa i podszyć groźne oprogramowanie pod oficjalne aktualizacje producenta. Właścicielowi komputera Lenovo korzystającego z niego w publicznej sieci Wi-Fi można by więc teoretycznie wymienić całe systemowe oprogramowanie na przygotowane przez atakujących kopie o tylko im znanym przeznaczeniu.
Jak poinformowali autorzy tego odkrycia, dokonano go już w lutym i natychmiast poinformowano o nim producenta. Miał on dzięki temu czas na przygotowanie odpowiedniego uaktualnienia zanim informacja o błędzie wyszła na światło dzienne. Teraz, kiedy już się to stało, warto dla pełnego bezpieczeństwa pobrać je ręcznie z oficjalnej strony Lenovo zamiast korzystać z automatycznej aktualizacji.
Według danych firmy analitycznej Gartner, chińskie Lenovo było w 2014 roku największym producentem komputerów PC na świecie. Udział firmy w rynku komputerów osobistych wyniósł 18,8 proc., stawiając ją przed HP i Dellem. Nic dziwnego więc, że luki w jej oprogramowaniu są tak chętnie wyszukiwane – zarówno przez hakerów jak i specjalistów od bezpieczeństwa.
Siłą rzeczy zresztą najwięcej ataków dotyczy oprogramowania i sprzętu najbardziej popularnego. W tym też często specjaliści upatrują przyczyn względnego bezpieczeństwa, jakim cieszą się na razie użytkownicy Linuksa czy Mac OS-a. Systemy, o których mówi się, że są bezpieczne przed wirusami, być może nie padły jeszcze ofiarą dostatecznie dużego interesowania ze strony hakerów.
Chociaż i to potrafi być złudne. W zeszłym miesiącu informowaliśmy o luce bezpieczeństwa, wykrytej w oprogramowaniu Mac OS i iOS. Również ją można było usunąć przez aktualizację.
Lekcja z tego wszystkiego taka, że najlepiej uważać z używaniem komputera poza domem, nie instalować żadnych programów w podejrzanych sieciach albo korzystać z tego, co najmniej popularne.
_ DG _
Aktualizacja 06/05/201. 16:05
Otrzymaliśmy oficjalne oświadczenie Lenovo. Poniżej prezentujemy je w całości:
_ W sprawie luki w zabezpieczeniach aplikacji System Update zespoły deweloperów i specjalistów ds. zabezpieczeń Lenovo współpracowały bezpośrednio z firmą IOActive. Cenimy jej doświadczenie w identyfikacji luk w zabezpieczeniach oraz odpowiedzialność, jaką wykazuje w ich ujawnianiu. Firma Lenovo udostępniła 1 kwietnia zaktualizowaną wersję aplikacji System Update, która usuwa te luki, a następnie opublikowała we współpracy z IOActive poradę dotyczącą zabezpieczeń pod adresem https://support.lenovo.com/us/en/product_security/lsu_privilege. Wcześniejsze wersje aplikacji System Update będą po uruchomieniu pytać użytkowników o zgodę na automatyczną instalację zaktualizowanej wersji. Użytkownicy mogą też zaktualizować aplikację System Update ręcznie, zgodnie z opisem zamieszczonym w poradzie dotyczącej zabezpieczeń. Lenovo zaleca wszystkim użytkownikom aktualizację aplikacji System Update w celu wyeliminowania luk w zabezpieczeniach zgłoszonych przez IOActive. _