Približne po dvoch mesiacoch od objavenia viacerých bezpečnostných chýb spoločnosť Lenovo sprístupnila softvérovú opravu, ktorá mala za cieľ chyby v systéme odstrániť. Užívatelia si ju ale museli manuálne stiahnuť a nainštalovať. Analytici zo spoločnosti IOActiv opäť upozornili na bezpečnostný problém, ktorý priamo súvisí s platformou, vďaka ktorej sa počítače Lenovo aktualizujú. Objavené boli chyby, ktoré údajne umožňujú obísť kontrolu aktualizácií a namiesto nich do počítača nainštalovať malvér. Ten následne útočníkom umožní spúšťať na diaľku ľubovolné príkazy.
Novoobjavená chyba umožní získať kontrolu nad systémom
Analytici správu o chybe zverejnili v polovici apríla, no verejnosti ju sprístupnili len v týchto dňoch. Detailne v nej popisujú, akým spôsobom môžu útočníci získať kontrolu nad počítačom. Problém sa týka komponentu s názvom Lenovo System Update vo verzii 5.6.0.27 a staršej, ktorý má na starosti aktualizácie softvéru a ovládačov.
“Chyba v komponente umožňuje aj užívateľom s obmedzenými právami vykonávať aktualizácie systému,” upresňuje v správe IOActive. Ako ďalej píšu analytici, dve navzájom prepojené služby, ktoré zabezpečujú systémové aktualizácie majú odlišné právomoci. Aktualizovať systém je tak možné s využitím chyby v službe, ktorá dáva právomoci aj užívateľovi bez privilégií. “Služba vytvorí kanál cez ktorý môže aj užívateľ bez privilégií zasielať rôzne príkazy a spúšťať súbory bez toho, aby mal na to systémové práva.” Užívatelia môžu byť v ohrození napríklad na miestach, kde sa pripájajú k verejným Wi-Fi sieťam. Problém je možné vyriešiť aktualizáciou, ktorú Lenovo už medzičasom vydalo, a ktorá spomínanú chybu opravuje. „Lenovo dňa 1.apríla vydalo aktualizovanú verziu systémovej aktualizácie Lenovo System Update, ktorá tieto zraniteľnosti rieši. Následne sme v koordinácii s IOActive vydali bezpečnostné upozornenie na oficiálnej stránke. Existujúce inštalácie aktualizácie Lenovo System Update užívateľov vyzvú, aby si pri spustení tejto aplikácie automaticky nainštalovali aktualizovanú verziu programu. Prípadne si užívatelia môžu manuálne aktualizovať tento System Update, tak ako je popísané v bezpečnostnom upozornení. Lenovo všetkým užívateľom odporúča vykonať aktualizáciu System Update, aby tak eliminovali zraniteľnosti, na ktoré IOActive upozorňuje,“ uviedlo Lenovo v oficiálnom stanovisku pre Pravda.sk.
Lenovo muselo svojim zákazníkom vysvetľovať prešľapy už vo februári
Vo februári spoločnosť Lenovo čelila kritike, že do väčšiny nových počítačov automaticky inštaluje program, ktorému je možné dať prívlastok reklamný. Okrem toho predstavoval aj závažné bezpečnostné riziko, ktoré hackerom za určitých podmienok umožnilo získať kontrolu nad systémom. Advér od Lenova s názvom Superfish mal za cieľ umiestňovať reklamy priamo do prehliadača. V januári ho ale spoločnosť celoplošne deaktivovala.
Superfish mohol zaznamenávať údaje o činnosti užívateľov a posielať ich tretím stranám, no údajne tak nerobil. Hrozbou však bolo, že Superfish vydával vlastné bezpečnostné certifikáty s cieľom zachytávať dáta aj pri zabezpečenom internetovom spojení. Znamená to, že ak sa užívateľ použil internetové bankovníctvo, pri komunikácii s bankou bol softvér medzičlánkom, ktorý zachytával všetky odoslané a prijaté dáta. To, že získané údaje nikomu neposielal, podľa odborníkov nie je žiadnym ospravedlnením. Týmto spôsobom boli užívatelia vystavení veľkému riziku zneužitia údajov, v prípade, že sa ich systém stane terčom útoku hackerov.
Lenovo následne ponúklo nástroj na odstránenie spomínaného softvéru, ktorý mnohým ležal v žalúdku. Superfish mal podľa spoločnosti slúžiť na zlepšovanie zážitku z nakupovania, no nenaplnil jej očakávania a preto ho deaktivovala. Užívatelia, ktorí si notebook zakúpili aj s predinštalovaným softvérom ho mohli pomocou oficiálneho nástroja zo systému odstrániť.