Actualização: Artigo actualizado com comentário da Lenovo sobre este problema
O ano de 2015 tem sido muito complicado para a Lenovo em termos de segurança nos seus equipamentos. Depois do surgimento do Superfish e de todas as suas complicações, esperava-se que a marca estivesse livre de problemas.
Na verdade isto não aconteceu e surgiu mais um problema de segurança, que afecta todos os seus equipamentos, e que coloca em causa o software instalado nas máquinas.
O novo problema que foi descoberto está mais uma vez relacionado com a autenticação e os mecanismos de verificação usados, mas desta vez na aplicação que controla as actualizações do software que a Lenovo coloca nos seus computadores.
A Lenovo tem disponível uma aplicação que controla a instalação e actualização de software da marca nos seus equipamentos, e é precisamente neste elemento que foi encontrada uma falha de segurança.
Este problema pode levar a que qualquer utilizadores mal intencionado possa dar instruções a este sistema para instalar software com malware ou outro tipo de problemas de segurança, contornando as medidas de controlo que a Lenovo implementou.
Os mecanismos usados são fracos e facilmente previsíveis, e podem ser criados por qualquer atacante, que depois dá ordens para a instalação do software malicioso.
O problema foi descoberto em Fevereiro deste ano pela empresa de segurança IOActive, na mesma altura em que o problema do SuperFish foi revelado, mas entregou este problema à Lenovo para o resolver.
Agora que o problema está resolvido e que foi lançada uma actualização que corrige o problema, o mesmo foi tornado público. Todos os utilizadores de computadores Lenovo devem descarregar o patch que a empresa disponibiliza e que resolve o problema.
O problema está na necessidade de intervenção manual por parte do utilizador neste processo, o que muitas vezes acaba por não acontecer, acabando por deixar as máquinas expostas aos problemas.
Actualização
O Pplware contactou a Lenovo no sentido de obter uma declaração da marca sobre este problema. A resposta que recebemos está transcrita abaixo:
Lenovo’s development and security teams worked directly with IOActive regarding their System Update vulnerability findings, and we value their expertise in identifying and responsibly reporting them. Lenovo released an updated version of System Update on April 1st which resolves these vulnerabilities and subsequently published a security advisory in coordination with IOActive at: https://support.lenovo.com/us/
en/product_security/lsu_ . Existing installations of System Update will prompt the user to automatically install the updated version when the application is run. Alternatively, users may manually update System Update as described in the security advisory. Lenovo recommends that all users update System Update to eliminate the vulnerabilities reported by IOActive.privilege