La empresa actualizó la aplicación con fallos de seguridad que en teoría permitiría instalar aplicaciones maliciosas haciéndose pasar por oficiales de Lenovo.

Lenovo no se ha recuperado del todo del enorme fiasco que fue Superfish, un adware que era capaz de interceptar el tráfico cifrado falsificando certificados en los equipos que vendían a clientes confiando en ellos. Ahora se ha conocido otro grave problema de seguridad presente en equipos Lenovo.

La firma IOActive ha descubierto (documento PDF) que el servicio de actualización de software de Lenovo tiene una importante falla de seguridad que permitiría a un atacante saltarse los puntos de validación de aplicaciones Lenovo y reemplazarlas por unas falsas.

Se trata de Lenovo System Update (SUService.exe), la aplicación de actualización de software de Lenovo que permite conectarse a sus servidores en busca de nuevas aplicaciones que están preinstaladas en equipos.

Si alguien con conocimiento de este bug quisiese atacar vía esta aplicación en una misma red, podría crear un certificado falso para ejecutar aplicaciones que podrían hacerse pasar como aplicaciones de Lenovo.

El equipo de IOActive descubrió este bug el pasado mes de febrero en Lenovo System Update versión 5.6.0.27 y lo primero que hicieron fue avisar a Lenovo, que unas semanas más tarde lanzó una actualización para corregir el bug.

Si tienes un equipo Lenovo no hace falta decir que lo primero que debes hacer es actualizar todas las aplicaciones que integra el sistema y ser muy cuidadoso con aplicaciones preinstaladas. Recuerda que en el mundo del software y de sistemas operativos no existe nada 100% seguro, la privacidad es una ilusión.

https://www.fayerwayer.com/2015/05/equipos-lenovo-afectados-por-otro-problema-de-seguridad/