Noi probleme de securitate pentru Lenovo
Compania Lenovo a fost acuzată că ar avea probleme mari în ceea ce privește securitatea, din cauza vulnerabilităților din serviciul de actualizare online.
Se pare că din cauza actualelor vulnerabilități, hackerii pot descărca programe periculoase în sistemele utilizatorilor printr-un atac de tip MITM (man-in-the-middle). Lenovo a preinstalat pe mai multe computere, între septembrie 2014 și ianuarie 2015, o aplicație de tip adware care a expus utilizatorii la riscuri majore de securitate. Superfish era capabil și să înlocuiască certificatele SSL ale sistemului, reducând la zero securitate oferită de conexiunile HTTPS, scrie Playtech.ro
Problemele au fost arătate de firma de securitate IOActive, la câteva săptămâni după ce s-a aflat că Lenovo distribuia computere cu Superfish preinstalat. Cercetătorii au descoperit vulnerabilitățile în februarie, dar le-au oferit celor de la Lenovo ocazia de a le repara, înainte de a le face publice.
Una dintre vulnerabilități, CVE-2015-2233, permite hackerilor să treacă de verificările validității semnăturii și să înlocuiască aplicații Lenovo cu software-uri rău intenționate. CVE-2015-2219, alt bug, permite accesul și rularea programelor și comenzilor malițioase. O altă slăbiciune, CVE-2015-2234, permite efectuarea comenzilor pe care, în mod normal, doar administratorul de sistem le poate da.
Sofiane Talmat, consultant în securitate pentru IOActive, a confirmat că Lenovo a rezolvat problemele, dar că utilizatorii trebuie să descarce ultima versiune a Lenovo System Update pentru a fi siguri.
“Echipele de securitate și dezvoltare ale Lenovo au lucrat direct cu cei de la IOActive în ceea ce privește vulnerabilitățile găsite și ne bazăm pe expertiza lor pentru a le identifica și a le reporta într-un mod responsabil. Am publicat un document, scris împreună cu cei la IOActive, care poate ajuta utilizatorii și care poate fi accesat la această adresă. Lenovo recomandă tuturor utilizatorilor să actualizeze System Update pentru a elimina slăbiciunile găsite de IOActive”, a răspuns un responsabil Lenovo acuzațiilor.