Lenovo è ancora al centro della bufera per una nuova vulnerabilità che colpisce i suoi computer, dispositivi di cui il colosso cinese è il primo produttore al mondo. L’ultima falla è stata svelata dal ricercatore indipendente Dymtro “Cr4sh” Oleksiuk e consentirebbe a un hacker di bypassare i protocolli di sicurezza essenziali di Windows. Ma questa volta la responsabilità potrebbe non essere di Lenovo. Il gruppo asiatico ha infatti pubblicato un bollettino di sicurezza in cui spiega la vicenda, non senza toni abbastanza polemici nei confronti di Oleksiuk. Il bug si colloca a livello di Bios e si trova nel codice del System Management Mode (Smm) presente in alcuni Pc del vendor cinese. “A breve distanza dall’affermazione del ricercatore sui social media, il quale avrebbe reso nota la vulnerabilità nei prodotti di Lenovo, il nostro Product Security Incident Response Team (Psirt) ha cercato inutilmente di collaborare con il ricercatore prima che pubblicasse queste informazioni”.
Secondo il gigante di Pechino, quindi, Oleksiuk avrebbe proseguito dritto per la sua strada senza fermarsi di fronte a nulla. In parallelo Lenovo ha poi iniziato a fare chiarezza al proprio interno ed è arrivata a una prima conclusione preliminare: il codice “corrotto” è stato fornito da almeno uno dei vendor indipendenti di Bios con cui la società cinese collabora. “Seguendo le comuni procedure industriali, gli Independent Bios vendor lavorano su un codice creato dai produttori di chip, come Intel o Amd, e aggiungono poi altre parti disegnate in modo specifico per funzionare con un certo tipo di computer”.
E qui si apre il giallo. Secondo Oleksiuk, che ha pubblicato un post su Github in cui affronta i dettagli del bug, il firmware vulnerabile è stato modificato dai dati forniti da Intel. La sua versione è stata poi confermata dalla stessa Lenovo, che ha però aggiunto una frase quanto mai sibillina: “non si conosce ancora lo scopo principale di questa falla”. Cosa significa? Che il baco potrebbe essere una backdoor intenzionale, inserita da qualche “manina” per spiare i computer e prenderne anche il controllo.
Oleksius sottolinea anche come un hacker potrebbe “disattivare la protezione dalla scrittura e infettare il firmware, disabilitare il Secure Boot e aggirare la virtual secure mode di Windows 10 Enterprise”. Al momento Lenovo sta ancora lavorando fianco a fianco con Intel per trovare una soluzione “il più rapidamente possibile”. Maggiori informazioni saranno pubblicate nei prossimi giorni su questa pagina Web.
Ma non sono solo i proprietari di computer del colosso cinese a tremare. Un utente di Twitter ha segnalato a Oleksius che almeno un altro Pc della serie Pavillion di Hp, realizzato nel 2010, presenta la stessa criticità. Nel 2015 Lenovo aveva rimediato una figuraccia nei confronti di migliaia di clienti a causa di Superfish, software pubblicitario (adware) installato di serie su molti dei propri prodotti che sfrutta un certificato di tipo Man-in-the-middle (Mitm) per inserire pubblicità nei browser.
L’applicazione, se compromessa, sarebbe potuta diventare un’ottima porta di accesso ai dati personali degli utenti. Diversi acquirenti di computer Lenovo si sono lamentati del problema nel forum associato al sito dell’azienda. Per calmare le acque il vendor è poi corso ai ripari pubblicando un tutoriale online per mostrare ai clienti come rimuovere l’adware.