Нијансе Суперфисх-а: Леново моли кориснике да деинсталирају сопствени софтвер због великих сигурносних пропуста

Леново

Прошле године, истраживачи безбедности открили Леново је испоручивао лаптопове са најгором сигурносном грешком од злогласног Сони рооткит дебакла 2005. Леново је у почетку обећао да ће избећи испоруку свих таквих апликација са Виндовсом 10 и изјавио је да ће направи измене сопственом процесу процене како би се осигурало да је само испоручен чистији, сигурнији рачунари (Нагласак оригинал).



Компанији није требало много времена да испуни то обећање. Леново је објавио висок приоритет безбедносно ажурирање , обавештавајући кориснике да једна апликација коју испоручује, Леново Апплицатион Аццелератор, има критичну ману. Обавештење наводи:

У софтверу Леново Аццелератор Апплицатион идентификована је рањивост која би могла да доведе до експлоатације од стране нападача са могућностима „човек у средини“. Рањивост се налази у оквиру механизма за ажурирање, где се пита Леново сервер да би се утврдило да ли су доступна ажурирања апликација.

Апликација Леново Аццелератор користи се за убрзавање лансирања Леново апликација и инсталирана је у неке потрошачке системе нотебоок и десктоп рачунара са унапред инсталираним оперативним системом Виндовс 10. Леново позива кориснике да уклоне апликацију као резултат истраге Дуо Лабс која је открила да је механизам за ажурирање који се користи у Леново Апплицатион Аццелератору у основи сломљен, без заштите од напада човека у средини. Такође садржи ману која омогућава произвољно извршавање кода на циљној машини.



ОЕМ-добављач-питања

Комплетан извештај аутор Дуо Лабс примећује да док је један од два агента за ажурирање компаније Леново заиста био отврднуо од напада, потпуни недостатак сигурности око другог „илуструје несувисли неред који је ОЕМ софтверски екосистем“.

Извештај се наставља:



Леново УпдатеАгент био је један од најгорих ажурирача који смо прегледали, не пружајући никакве безбедносне функције. Извршне датотеке и манифести се преносе у отвореном облику и не примењују се провере потписивања кода ... Леново УпдатеАгент не потврђује потписе апликација које преузима и извршава. Не покушавају се применити аутентичност или издавач извршних датотека које је преузео програм за ажурирање ... Леново УпдатеАгент не користи ТЛС за пренос манифеста или било које накнадно преузете извршне датотеке. Извршне датотеке и манифести се лако могу мењати у транзиту.

Извештај такође напомиње да је Леново Солутионс Центер један од најбоље надоградње од великог ОЕМ произвођача. На несрећу, оба су испоручивана на Леново системима прилично дуго; Леново-ова листа погођених система садржи 78 верзија лаптоп рачунара (мада су неке у истој линији производа) и 39 рачунара.

Зашто издвајати Леново?

Једна тачка коју желимо да постигнемо је зашто се фокусирамо на Леново када је сваки произвођач имао озбиљних недостатака. Пре отприлике 15 месеци, Леново се обавезао на изградњу чистијих и сигурнијих рачунара. Изјавила је да ће ти рачунари бити спремни за Виндовс 10. Даље је обећала да ће затражити повратне информације од „наше корисничке заједнице и индустријских стручњака како би осигурала да имамо праве апликације и најбоље корисничко искуство. На ове акције гледамо као на полазну тачку. Верујемо да ће ови кораци нашу технологију учинити бољом, сигурнијом и сигурнијом. “



Ево заиста поучне реченице из Леново-ове безбедносне најаве: Апликација Леново Аццелератор никада није инсталирана на ТхинкПад или ТхинкСтатион уређајима. Другим речима, није инсталиран на линијама производа пословне класе компаније; само линије потрошачке класе попут Иоге и ИдеаПада. То је потпуно иста одбрана коју је Леново понудио са Суперфисхом. Прошле године сам изјавио да никада нећу препоручити други Леново систем док компанија не понуди доказе да је очистила своје поступке и поправила поступак процене софтвера. Потпуно очврсли Леново Солутион Центер приказан горе? Леново сопствена веб локација описује га као: „ЛСЦ долази унапред учитан у системима са Виндовс 7, Виндовс 8, Виндовс 8.1 и Виндовс 10, 32- и 64-битним, укључујући ТхинкПад, ТхинкПад Таблет, ТхинкЦентре и ТхинкСтатион, ИдеаЦентре и изаберите ИдеаПадс. (Нагласак додат).

Ако сте власник пословног система са брендом Тхинк, Леново озбиљно схвата вашу сигурност. Ако то не урадиш, не боли те брига. Акције говоре више од речи, а чињеница да се компанија и даље продаје подстандардног софтвера више од годину дана након што се обавезала да ће побољшати своју сигурност доказ је да се ништа није променило.

Не, проблем није карактеристичан само за Леново. Ацер, Асус, Делл и ХП морају једном заувек очистити своје куће и осигурати свој софтвер. Отварање корисника нападима путем инсталираног софтвера никада не би требало сматрати трошком пословања. Као што примећује извештај Дуо, све ове апликације сматрају се поузданима, јер долазе директно од самих произвођача, што значи да су укључене - чак и у издања „Сигнатуре“ за рачунаре које продаје Мицрософт продавница. Ово није само Леново проблем, а безбедносни извештај то јасно показује. Ипак, Леново је једина компанија за ПЦ која још увек баца своје потрошаче под аутобус 15 месеци након критичног кршења безбедности. Ако тражите преносни рачунар, и даље препоручујемо да потражите негде другде. Само зато што ове мане нису присутне у системима са брендом Тхинк не значи да би Леново требало да буде награђен за испоруку неквалитетних потрошачких производа.

Copyright © Сва Права Задржана | 2007es.com