Ricordate la vicenda Superfish, che ha imbarazzato Lenovo? Lo scorso febbraio si era scoperto che il più grande produttore di computer al mondo aveva il “vizietto” di pre-installare nelle sue macchine un programma pubblicitario, chiamato appunto Superfish. Il problema non era il software in sé, ma il cattivo uso che avrebbero potuto farne eventuali malintenzionati. L’applicativo poteva infatti essere sfruttato dagli hacker per accedere ai dati personali degli utenti. Ebbene, in questi giorni Lenovo è di nuovo nel polverone. Gli esperti di sicurezza di IoActive hanno infatti scoperto altre serie vulnerabilità nel sistema di aggiornamento dei software cinesi: i bug potrebbero lasciare campo libero ai cybercriminali, mettendo nelle loro mani la sorte dei malcapitati utenti. Secondo IoActive, infatti, le falle potrebbero permettere agli hacker di rimpiazzare i programmi targati Lenovo con altre applicazioni, all’apparenza uguali, ma decisamente pericolose. Il prodotto colpito è il System Update nelle versioni 5.6.0.27 e precedenti.
Appoggiandosi alla vulnerabilità, i malintenzionati potrebbe scagliare quello che viene definito nel gergo un “attacco da bar”: in sostanza, se un utente Lenovo dovesse trovarsi ad aggiornare il sistema utilizzando la connessione Internet in un luogo pubblico, come può essere appunto un bar, un hacker potrebbe infiltrarsi nel buco del computer per installare software maligno. La buona notizia è che il vendor cinese ha rilasciato un aggiornamento in grado di risolvere il problema, a quanto sembra già agli inizi di aprile, anche se la notizia è stata diffusa in questi giorni. Ma l’update deve essere scaricato manualmente dagli utenti. Lenovo è stata avvisata da IoActive il 19 febbraio scorso e in poco meno di due mesi il colosso asiatico è riuscito a sistemare il problema.
Il software pubblicitario Superfish, che lo scorso febbraio ha posto Lenovo sotto i riflettori
Nel dettaglio, il problema risiede nella firma di sicurezza che accompagna i certificati digitali dei System Update. In questo caso, il prodotto viene scaricato in forma di eseguibile da Internet e lanciato in automatico dal computer. Per proteggere i dati sensibili, però, Lenovo firma queste operazioni e il sistema le ricontrolla prima di avviare gli eseguibili. Ma il bug scoperto da IoActive è in grado di interrompere involontariamente questa catena di certificazione, mettendo così a repentaglio la sicurezza degli utenti. Un pirata informatico può allora creare un documento elettronico falso e sostituirlo all’autenticazione firmata da Lenovo. Et voilà, il gioco è fatto.