www.svethardware.cz
>
>
>
>

Lenovo žádá uživatele o odinstalaci softwaru kvůli závažné chybě

Lenovo žádá uživatele o odinstalaci softwaru kvůli závažné chybě
, , aktualita
Populární výrobce (nejen) notebooků Lenovo v minulém roce prodávalo své modely s předinstalovaným adware od Superfish a pak se nevyhnulo ani dalším problémům podobného ražení. Ani tomto roce, jak to vypadá, nebude štít Lenova zcela čistý.



reklama
Adware od společnosti Superfish se objevil ve spotřebitelských modelech notebooků Lenovo vyrobených ke konci roku 2014. Šlo o modely G, U, Y, E, Z a S Series, dále Flex Series, MIIX Series a Yoga Series, takže celou paletu modelů pro běžné zákazníky, kterým začaly na displeji vyskakovat okna s reklamou. Ostře sledované Lenovo pak zaznamenalo další problém s bezpečností a tentokrát šlo o aktualizace. Firma se poté zavázala, že na nově prodávaných počítačích již nic podobného nenajdeme a že kvůli tomu pozmění své interní procesy, aby její PC byla prosta jakéhokoliv nechtěného a potenciálně nebezpečného softwaru.





Nedá se říci, že by to nedodržela, alespoň z toho pohledu, že dnes nejde o nebezpečný software třetí strany, jde o aplikaci Lenovo Application Accelerator s kritickou chybou. Ta by mohla posloužit jako otevřená vrátka pro útočníka, který by se stal klasickým nechtěným prostředníkem (man-in-the-middle), přes nějž plyne komunikace mezi dvěma body, čili uživatelem a nějakou jinou službou. Jako takový by tento útočník mohl získávat informace, nebo data na jejich cestě měnit. Chyba má být lokalizována konkrétně opět v aktualizačním mechanismu, který se dotazuje serveru Lenova na dostupné nové verze.

Lenovo Accelerator Application je instalován na některé spotřebitelské notebooky i desktopy vybavené systémem Windows 10 a má za úkol urychlit spouštění dalších firemních aplikací. Lenovo se dozvědělo o bezpečnostní díře od společnosti Duo Labs, která odhalila, že software není proti uvedenému typu útoku nijak chráněn a navíc je tu i možnost spuštění kódu na cílovém počítači, čili útočník by nad ním mohl zcela převzít kontrolu a pak už je to jen krůček třeba k zašifrování dat a následnému vydírání nebo jiným libůstkám. Lenovo tak nyní žádá své zákazníky, aby tento software rovnou odinstalovali.

Společnost Duo Labs k tomu dodala, že jen jeden aktualizační mechanismus v softwarovém balíku Lenova byl opravdu chráněn proti útokům, zatímco ten druhý byl naprosto bezbranný, což jen "ilustruje, jaký nesourodý chaos vládne v nainstalovaném OEM softwarovém ekosystému". Jde konkrétně o UpdateAgent, který používá naprosto otevřenou a nechráněnou komunikaci a neověřuje ani pravost softwaru, který stáhne a kódu, který spustí. Na druhou stranu updater v Solution Center je chráněn velice dobře.

Problém se týká celkem 78 verzí softwaru Lenova pro notebooky (některé jsou ale určeny pro stejnou řadu) a pak o 39 desktopových verzí, přičemž tato bezpečnostní díra v softwaru zeje už dlouhou řadu měsíců. Obávat se ale nemusí majitelé počítačů ThinkPad nebo ThinkStation, na které Lenovo Accelerator Application instalován nebyl a není. Spíše jde o spotřebitelské řady jako Yoga nebo IdeaPad.





Jenomže Lenovo není v tomto případě osamoceno. Jak ukazuje tabulka Duo Labs týkající se zabezpečení aktualizačních mechanismů od různých firem, ani Acer nebo Asus nemají čisté svědomí, jak zpráva Duo Labs zdůrazňuje. Uživatelé mají přitom tendenci takovým aplikacím důvěřovat, neboť je přece vytvořil samotný výrobce jejich počítače. Nicméně Acer a Asus budou teprve na tato zajištění reagovat (doufejme), zatímco Lenovo se už před více než rokem po kauze Superfish dušovalo, že bude brát ohled na zpětnou vazbu od odborníků i zákazníků a nabídne "lepší, bezpečné a zabezpečené technologie".

Zdroj: Duo Labs, Extremetech
Nejpopulárnější tablety
reklama
Nejnovější články
Číňané tvrdí, že mají kvantový radar proti technologii stealth Číňané tvrdí, že mají kvantový radar proti technologii stealth
Čínská armáda uvedla, že vynalezla kvantový radar, proti němuž by byla technologie stealth, do níž americká armáda investovala stovky miliard dolarů, naprosto bezradná. Číňané by tak výrazně ovlivnili poměr sil.
Dnes,  aktualita, Jan Vítek
O koupi Twitteru má zájem i Disney O koupi Twitteru má zájem i Disney
Samotná společnost Disney dle serveru TechCrunch nyní má vyjednávat s bankami, aby zjistila, zda si může dovolit akvizovat Twitter, jehož hodnota na burze nedávno prudce vzrostla. Co by z toho takový Disney ale mohl mít?
Dnes,  aktualita, Jan Vítek
Xbox One S v edici Audi R8: autokonzole pro Forza Horizon 3 Xbox One S v edici Audi R8: autokonzole pro Forza Horizon 3
Herním světem v těchto dnech hýbe nová závodní hra Forza Horizon 3, kterou vydává Microsoft, a tak není ani divu, že se objevila speciální edice konzole Xbox One S. Ta je laděna do tvarů automobilu Audi R8, ovšem koupit si ji nemůžeme.
Dnes,  aktualita, Jan Vítek
EIZO CG2730 a CS2730: 27" dvojka pro náročné EIZO CG2730 a CS2730: 27" dvojka pro náročné
Společnost EIZO si připravila dva nové monitory z řady ColorEdge, které umožňují hardwarovou kalibraci obrazu a jsou určeny pro zpracování fotografií, videa a vůbec práci s grafikou. Co všechno nám nabídnou?
Dnes,  aktualita, Jan Vítek
Samsung Polaris: nové kontrolery zajistí vyšší kapacitu SSD Samsung Polaris: nové kontrolery zajistí vyšší kapacitu SSD
Samsung na Global SSD Summit v Koreji vedle nových modelů SSD 960 PRO a EVO odhalil také nové kontrolery, které mají změnit možnosti modelů SSD pro formát M.2. Jde o kontrolery Polaris, jež přicházejí s designem PoP (Package on Package).
Dnes,  aktualita, Jan Vítek