Lenovo žádá uživatele o odinstalaci softwaru kvůli závažné chybě
10.6.2016, Jan Vítek, aktualita
Populární výrobce (nejen) notebooků Lenovo v minulém roce prodávalo své modely s předinstalovaným adware od Superfish a pak se nevyhnulo ani dalším problémům podobného ražení. Ani tomto roce, jak to vypadá, nebude štít Lenova zcela čistý.
Adware od společnosti Superfish se objevil ve spotřebitelských modelech notebooků Lenovo vyrobených ke konci roku 2014. Šlo o modely G, U, Y, E, Z a S Series, dále Flex Series, MIIX Series a Yoga Series, takže celou paletu modelů pro běžné zákazníky, kterým začaly na displeji vyskakovat okna s reklamou. Ostře sledované Lenovo pak zaznamenalo další problém s bezpečností a tentokrát šlo o aktualizace. Firma se poté zavázala, že na nově prodávaných počítačích již nic podobného nenajdeme a že kvůli tomu pozmění své interní procesy, aby její PC byla prosta jakéhokoliv nechtěného a potenciálně nebezpečného softwaru.
Nedá se říci, že by to nedodržela, alespoň z toho pohledu, že dnes nejde o nebezpečný software třetí strany, jde o aplikaci Lenovo Application Accelerator s kritickou chybou. Ta by mohla posloužit jako otevřená vrátka pro útočníka, který by se stal klasickým nechtěným prostředníkem (man-in-the-middle), přes nějž plyne komunikace mezi dvěma body, čili uživatelem a nějakou jinou službou. Jako takový by tento útočník mohl získávat informace, nebo data na jejich cestě měnit. Chyba má být lokalizována konkrétně opět v aktualizačním mechanismu, který se dotazuje serveru Lenova na dostupné nové verze.
Lenovo Accelerator Application je instalován na některé spotřebitelské notebooky i desktopy vybavené systémem Windows 10 a má za úkol urychlit spouštění dalších firemních aplikací. Lenovo se dozvědělo o bezpečnostní díře od společnosti Duo Labs, která odhalila, že software není proti uvedenému typu útoku nijak chráněn a navíc je tu i možnost spuštění kódu na cílovém počítači, čili útočník by nad ním mohl zcela převzít kontrolu a pak už je to jen krůček třeba k zašifrování dat a následnému vydírání nebo jiným libůstkám. Lenovo tak nyní žádá své zákazníky, aby tento software rovnou odinstalovali.
Společnost Duo Labs k tomu dodala, že jen jeden aktualizační mechanismus v softwarovém balíku Lenova byl opravdu chráněn proti útokům, zatímco ten druhý byl naprosto bezbranný, což jen "ilustruje, jaký nesourodý chaos vládne v nainstalovaném OEM softwarovém ekosystému". Jde konkrétně o UpdateAgent, který používá naprosto otevřenou a nechráněnou komunikaci a neověřuje ani pravost softwaru, který stáhne a kódu, který spustí. Na druhou stranu updater v Solution Center je chráněn velice dobře.
Problém se týká celkem 78 verzí softwaru Lenova pro notebooky (některé jsou ale určeny pro stejnou řadu) a pak o 39 desktopových verzí, přičemž tato bezpečnostní díra v softwaru zeje už dlouhou řadu měsíců. Obávat se ale nemusí majitelé počítačů ThinkPad nebo ThinkStation, na které Lenovo Accelerator Application instalován nebyl a není. Spíše jde o spotřebitelské řady jako Yoga nebo IdeaPad.
Jenomže Lenovo není v tomto případě osamoceno. Jak ukazuje tabulka Duo Labs týkající se zabezpečení aktualizačních mechanismů od různých firem, ani Acer nebo Asus nemají čisté svědomí, jak zpráva Duo Labs zdůrazňuje. Uživatelé mají přitom tendenci takovým aplikacím důvěřovat, neboť je přece vytvořil samotný výrobce jejich počítače. Nicméně Acer a Asus budou teprve na tato zajištění reagovat (doufejme), zatímco Lenovo se už před více než rokem po kauze Superfish dušovalo, že bude brát ohled na zpětnou vazbu od odborníků i zákazníků a nabídne "lepší, bezpečné a zabezpečené technologie".
Zdroj: Duo Labs, Extremetech
Nedá se říci, že by to nedodržela, alespoň z toho pohledu, že dnes nejde o nebezpečný software třetí strany, jde o aplikaci Lenovo Application Accelerator s kritickou chybou. Ta by mohla posloužit jako otevřená vrátka pro útočníka, který by se stal klasickým nechtěným prostředníkem (man-in-the-middle), přes nějž plyne komunikace mezi dvěma body, čili uživatelem a nějakou jinou službou. Jako takový by tento útočník mohl získávat informace, nebo data na jejich cestě měnit. Chyba má být lokalizována konkrétně opět v aktualizačním mechanismu, který se dotazuje serveru Lenova na dostupné nové verze.
Lenovo Accelerator Application je instalován na některé spotřebitelské notebooky i desktopy vybavené systémem Windows 10 a má za úkol urychlit spouštění dalších firemních aplikací. Lenovo se dozvědělo o bezpečnostní díře od společnosti Duo Labs, která odhalila, že software není proti uvedenému typu útoku nijak chráněn a navíc je tu i možnost spuštění kódu na cílovém počítači, čili útočník by nad ním mohl zcela převzít kontrolu a pak už je to jen krůček třeba k zašifrování dat a následnému vydírání nebo jiným libůstkám. Lenovo tak nyní žádá své zákazníky, aby tento software rovnou odinstalovali.
Společnost Duo Labs k tomu dodala, že jen jeden aktualizační mechanismus v softwarovém balíku Lenova byl opravdu chráněn proti útokům, zatímco ten druhý byl naprosto bezbranný, což jen "ilustruje, jaký nesourodý chaos vládne v nainstalovaném OEM softwarovém ekosystému". Jde konkrétně o UpdateAgent, který používá naprosto otevřenou a nechráněnou komunikaci a neověřuje ani pravost softwaru, který stáhne a kódu, který spustí. Na druhou stranu updater v Solution Center je chráněn velice dobře.
Problém se týká celkem 78 verzí softwaru Lenova pro notebooky (některé jsou ale určeny pro stejnou řadu) a pak o 39 desktopových verzí, přičemž tato bezpečnostní díra v softwaru zeje už dlouhou řadu měsíců. Obávat se ale nemusí majitelé počítačů ThinkPad nebo ThinkStation, na které Lenovo Accelerator Application instalován nebyl a není. Spíše jde o spotřebitelské řady jako Yoga nebo IdeaPad.
Jenomže Lenovo není v tomto případě osamoceno. Jak ukazuje tabulka Duo Labs týkající se zabezpečení aktualizačních mechanismů od různých firem, ani Acer nebo Asus nemají čisté svědomí, jak zpráva Duo Labs zdůrazňuje. Uživatelé mají přitom tendenci takovým aplikacím důvěřovat, neboť je přece vytvořil samotný výrobce jejich počítače. Nicméně Acer a Asus budou teprve na tato zajištění reagovat (doufejme), zatímco Lenovo se už před více než rokem po kauze Superfish dušovalo, že bude brát ohled na zpětnou vazbu od odborníků i zákazníků a nabídne "lepší, bezpečné a zabezpečené technologie".
Zdroj: Duo Labs, Extremetech
