Otkriveni bezbednosni propusti u Lenovo računarima

Vesti, 07.05.2015, 06:00 AM

Posle gafa sa opasnim špijunskim adwareom Superfish koji je isporučivan kupcima Lenovo računara, bezbednost Lenovo računara ponovo je tema kojom se bave mediji.

Povod su ovoga puta bezbednosni propusti koje su otkrili istraživači kompanije IOActive (pdf) u softveru System Update kompanije Lenovo.

Bezbednosni propusti nalaze se u verziji 5.6.0.27 i starijim verzijama softvera, a jedan od njih je ocenjen kao kritičan.

Istraživači su otkrili da propusti u Lenovo Update System mogu omogućiti hakerima da izbegnu proveru identiteta, zamene legitimne Lenovo programe malicioznim softverom i da sa daljine izvršavaju komande.

Iz bezbednosnih razloga Lenovo potpisuje svoje izvršne fajlove i proverava potpis pre njihovog pokretanja, ali kako kažu istraživači, ne proverava ih u potpunosti. S obzirom na to da nema valjane provere, napadači mogu napraviti lažni sertifikat za potpisivanje izvršnih fajlova, omogućavajući malicioznom softveru da se pretvara da je legitimni Lenovo softver. Ako bi vlasnik Lenovo računara ažurirao softver na nekom javnom mestu (na primer, u kafiću), napadač bi mogao da iskoristi propust i zameni Lenovo programe svojim programom. System Update će prihvatiti izvršne fajlove potpisane lažnim sertifikatom napadača, tako da ih napadač može pokrenuti kao privilegovani korisnik. I to je samo jedan od bezbednosnih propusta koje su otkrili u IOActive.

Propusti su otkriveni u februaru o čemu je kompanija Lenovo obaveštena. Njen razvojni tim i tim zadužen za bezbednost radili su sa istraživačima iz IOActive na ispravkama propusta, što je završeno početkom aprila, objavljivanjem nove verzije softvera koju bi korisnici Lenovo uređaja trebalo što pre da preuzmu.