Ερευνητές ανακάλυψαν ένα σοβαρό θέμα ασφαλείας σε λογισμικό που έχει εγκατασταθεί σχεδόν σε κάθε Lenovo notebook, tablet και PC, και ενδεχομένως επηρεάζει εκατομμύρια χρήστες.
Το λογισμικό με το κενό ασφαλείας είναι το Lenovo Solution Center. To λογισμικό αυτό επιτρέπει στους χρήστες να δουν τη συνολική κατάσταση της συσκευής τους, (υλικό, κατάσταση λογισμικού, συνδέσεις δικτύου) αλλά και να εγκαταστήσουν χαρακτηριστικά ασφαλείας.
Όπως φαίνεται όμως οι ερευνητές ανακάλυψαν έναν τρόπο για τοπική κλιμάκωση προνομίων κάτι που επιτρέπει σε έναν εισβολέα να πάρει αυξημένα δικαιώματα πρόσβασης στο σύστημα.
Αυτό φυσικά του επιτρέπει να εκτελέσει κώδικα χωρίς περιορισμούς στο μηχάνημα. Ανάλογα με το επίπεδο δεξιοτήτων του εισβολέα, μπορεί πολύ εύκολα να κάνει τη συσκευή του χρήστη ότι θέλει, σύμφωνα με την εταιρεία ασφαλείας Trustwave.
Με άλλα λόγια, ένας hacker μπορεί να τρέξει κακόβουλο λογισμικό σε επίπεδο διαχειριστή, και συστήματος, ακόμη και αν η εφαρμογή δεν φαίνεται να είναι σε λειτουργία.
Τα καλά νέα είναι ότι η Lenovo επιδιόρθωσε γρήγορα το λογισμικό όταν αποκαλύφθηκε η ευπάθεια.
Η εταιρεία κυκλοφόρησε την ενημέρωση την περασμένη εβδομάδα, και όσοι ανοίξουν το Lenovo Solution Center θα τους ζητηθεί να την εγκαταστήσουν αυτόματα.
Εδώ όμως θα πρέπει να πούμε δυο λόγια για το συγκεκριμένο λογισμικό.
Η διαδικτυακή κοινότητα αποκαλεί αυτού του είδους το λογισμικό “bloatware,” και υπάρχει προεγκατεστημένο στα ThinkPads, τα ThinkPad tablets, στα ThinkCenter αλλά και στα ThinkStation, IdeaCenter και μερικά IdeaPads, που τρέχουν με Windows 7 ή και νεότερο λειτουργικό σύστημα.
Αυτό το συχνά-ανεπιθύμητο λογισμικό είναι γνωστό και ως “crapware” και εξακολουθεί να αποτελεί μείζον θέμα στο PC ή στις κινητές συσκευές, κυρίως επειδή είναι γνωστό ότι μπορεί να θέσει την ασφάλεια των συστημάτων που είναι εγκατεστημένο σε κίνδυνο.
Να αναφέρουμε επίσης ότι, δεν είναι η πρώτη φορά που ειδικοί ασφαλείας ανακαλύπτουν προβλήματα στις συσκευές της Lenovo. Τον Φεβρουάριο του 2015, ερευνητές διαπίστωσαν ότι η Lenovo είχε εγκαταστήσει ένα root certificate στους φορητούς υπολογιστές της.
Το σκάνδαλο “Superfish” προκάλεσε αίσθηση στην κοινότητα ασφαλείας.
Διαβάστε Προσοχή! τα Lenovo έρχονται με adware και root certificate
Η εταιρεία αργότερα υποσχέθηκε να σταματήσει την εγκατάσταση bloatware στους υπολογιστές και τις συσκευές που διαθέτει στην αγορά.