Update: Reprezentanţii Lenovo au publicat o notă de securitate, detaliind paşii de urmat pentru remedierea vulnerabilităţilor care expun PC-urile la ameninţări cu malware.
Echipele Lenovo de dezvoltare şi securitate au colaborat în mod direct cu IOActive referitor la vulnerabilităţile aplicaţiei System Update depistate de aceştia din urmă şi apreciem expertiza acestora pentru identificarea şi raportarea lor cu responsabilitate. Lenovo a lansat pe 1 aprilie o versiune actualizată a aplicaţiei System Update care soluţionează aceste vulnerabilităţi şi ulterior a publicat, in colaborare cu IOActive, o notă de securitate. În situaţia în care aplicaţia System Update a fost deja instalată, utilizatorului i se cere să instaleze versiunea actualizată de îndată ce aplicaţia rulează. Ca soluţie alternativă, utilizatorii pot actualiza manual System Update, urmând paşii descrişi în nota de securitate. Lenovo recomandă tuturor utilizatorilor să actualizeze aplicaţia System Update pentru a elimina vulnerabilităţile raportate de IOActive.
La trei luni după ce au fost acuzaţi că livrează adware periculos, preinstalat pe calculatoarele comercializate, chinezii de la Lenovo sunt din nou în vizorul companiilor de securitate, care au semnalat breşe de securitate majore în aplicaţia pentru livrarea şi instalarea actualizărilor software pe PC-uri Lenovo.
Potrivit raportului publicat de IOActive, o serie de vulnerabilităţi prezente în utilitarul folosit de Lenovo pentru livrarea patch-urilor de securitate şi actualizări pentru aplicaţii pot fi exploatate pentru a ocoli rutinele de validare internă, substituind programe legitime cu aplicaţii malware care permit executarea de comenzi la distanţă şi preluarea controlului asupra dispozitivelor compromise.
Una dintre vulnerabilităţi permite unui atacator să falsifice certificatele de securitate folosite pentru semnarea pachetelor de aplicaţii, strecurând apoi componente infectate deghizate în aplicaţii legitime oferite de Lenovo. Pentru ca atacul să reuşească, este de ajuns ca posesorul dispozitivului să încerce descărcarea de actualizări folosind aceeaşi reţea la care este conectat şi atacatorul, acesta substituind programele furnizate de Lenovo cu propriile aplicaţii.
Prezente şi în ultima versiune Lenovo System Update (5.6.0.27), vulnerabilităţile semnalate companiei chineze încă din luna februarie au fost remediate destul de prompt, un patch fiind disponibil încă de luna trecută. Totuşi, Lenovo nu a mers până la captăt, patch-ul publicat nefiind aplicat pe dispozitive cu o actualizare automată. În schimb, posesorii de laptopuri şi PC-uri Lenovo sunt nevoiţi să îl descarce manual de pe website-ul companiei, dacă doresc să aibă dispozitivele protejate.