Lenovo no se ha recuperado del todo del enorme fiasco que fue Superfish, un adware que era capaz de interceptar el tráfico cifrado falsificando certificados en los equipos que vendían a clientes confiando en ellos. Ahora se ha conocido otro grave problema de seguridad presente en equipos Lenovo.
La firma IOActive ha descubierto (documento PDF) que el servicio de actualización de software de Lenovo tiene una importante falla de seguridad que permitiría a un atacante saltarse los puntos de validación de aplicaciones Lenovo y reemplazarlas por unas falsas.
Se trata de Lenovo System Update (SUService.exe), la aplicación de actualización de software de Lenovo que permite conectarse a sus servidores en busca de nuevas aplicaciones que están preinstaladas en equipos.
Si alguien con conocimiento de este bug quisiese atacar vía esta aplicación en una misma red, podría crear un certificado falso para ejecutar aplicaciones que podrían hacerse pasar como aplicaciones de Lenovo.
El equipo de IOActive descubrió este bug el pasado mes de febrero en Lenovo System Update versión 5.6.0.27 y lo primero que hicieron fue avisar a Lenovo, que unas semanas más tarde lanzó una actualización para corregir el bug.
Si tienes un equipo Lenovo no hace falta decir que lo primero que debes hacer es actualizar todas las aplicaciones que integra el sistema y ser muy cuidadoso con aplicaciones preinstaladas. Recuerda que en el mundo del software y de sistemas operativos no existe nada 100% seguro, la privacidad es una ilusión.
Actualización 7 de mayo
Lenovo ha respondido ante la noticia de este fallo de seguridad con un mensaje. Como ya indicábamos este problema de seguridad quedaba resuelto con una actualización.
Los equipos de desarrollo y seguridad de Lenovo han trabajado mano a mano con IOActive para resolver la reciente vulnerabilidad que han descubierto del sistema actualizado; valoramos mucho su experiencia y la responsabilidad que han demostrado al reportarnos sobre esta vulnerabilidad. Lenovo lanzó una versión actualizada de la actualización del sistema el 1 de abril que resuelve estas vulnerabilidades, y posteriormente publicó un aviso de seguridad conjunto con IOActive que puedes leer en este enlace: https://support.lenovo.com/us/en/product_security/lsu_privilege.
Las versiones existentes del sistema actualizado solicitarán automáticamente la instalación de la versión actualizada del programa al usuario cuando éstos ejecuten la aplicación. Además, los usuarios pueden realizar manualmente la actualización del sistema como se describe en el aviso de seguridad. Lenovo recomienda que todos los usuarios actualicen el sistema para eliminar las vulnerabilidades reportadas por IOActive.
