Dopo il caso Superfish, Lenovo aveva promesso PC più puliti e sicuri. Purtroppo, il primo produttore mondiale di computer è stato nuovamente accusato di scarsa attenzione al problema. IOActive ha infatti scoperto diverse vulnerabilità nel servizio di update che potrebbe consentire l’esecuzione di attacchi MITM (man-in-the-middle).
Il Lenovo System Update permette di scaricare dai server dell’azienda gli aggiornamenti per driver e altri software, incluse le patch di sicurezza. Il servizio effettua il download solo se viene rilevato un token di autenticazione e validazione. Una delle vulnerabilità è presente proprio nel sistema di generazione del token, consentendo ai malintenzionati di eseguire comandi e programmi sui computer degli utenti. Un altro bug permette invece di bypassare la validazione, per cui System Update eseguirà file firmati con un falso certificato. Il malware verrà quindi scambiato per un aggiornamento ufficiale. Una terza falla di sicurezza consente di eseguire comandi con permessi di amministratore.
Queste gravi vulnerabilità sono presenti nei prodotti delle serie ThinkPad, ThinkCentre, ThinkStation e Lenovo V/B/K/E. IOActive ha segnalato il problema il 19 febbraio. Il produttore cinese ha rilasciato una nuova versione del System Update all’inizio di aprile. La verifica avviene automaticamente, ma gli utenti possono installare manualmente l’aggiornamento da questo indirizzo.