3 juni 2016 09:39

Lenovo roept op om gevaarlijke bloatware te verwijderen

Lenovo raadt aan om software die het bedrijf op zijn laptops en desktops voorinstalleert te verwijderen vanwege een beveiligingslek. Het gaat alleen om Windows 10-systemen.

Lenovo adviseert zijn klanten om software die het bij zijn Windows 10-systemen meelevert te verwijderen, nadat enkele gaten in de beveiliging werden ontdekt.

Het gaat meer bepaald om een kwetsbaarheid in de Accelerator Application. Dat is een stukje bloatware dat Lenovo op zijn computers en laptops installeert om het opstarten van andere Lenovo-applicaties in Windows 10 te versnellen. In een security advisory deelt de pc-fabrikant mee dat het lek zou kunnen worden misbruikt voor een man-in-the-middle-aanval en raadt het aan de software te verwijderen.

Een MITM-aanval houdt in dat de communicatie tussen twee partijen kan worden onderschept of gemanipuleerd door een derde partij die heimelijk meekijkt. In het geval van Lenovo’s Accelerator Application bevindt het lek zich in het updatemechanisme waarbij de computer Lenovo’s servers aanspreekt om te controleren of er nieuwe software-updates beschikbaar zijn.

Hoewel de Accelerator Application door Lenovo wordt voorgeïnstalleerd op Windows 10-systemen, is ze niet kritiek voor de goede werking van je computer. Vanuit het standpunt van de pc-fabrikant maakt het deel uit van een softwarebundel die een meerwaarde moet bieden aan de klant. Vaak beschouwt die klant het echter als bloatware die onnodig ruimte en systeembronnen opsoupeert. Je kan de software dus zonder problemen verwijderen.

Tot de getroffen systemen behoren onder meer apparaten in de Erazer-, Miix-, Flex- Yoga- en IdeaCenter-productreeksen. ThinkPads en ThinkStations zijn niet getroffen. In totaal is de kwetsbaarheid aanwezig op 46 laptops en 25 desktops. De volledige lijst kan je hier bekijken.

Lenovo niet alleen

Het lek werd aan het licht gebracht door securitybedrijf Duo Labs. Ze troffen de kwetsbaarheid niet alleen aan in de updater van Lenovo, maar ook in die van andere OEM’s zoals Acer, Asus, Dell en HP. Het probleem is dat veel van deze updatemechanismen geen gebruik maken van TLS en nalaten om validatie te bieden voor Microsofts Authenticode Certificates, waardoor ze relatief eenvoudig kunnen worden misbruikt.

Het is niet de eerste keer dat de software die op systemen wordt voorgeïnstalleerd pc-fabrikanten in een slecht daglicht stelt. Eind vorig jaar kwamen problemen aan het licht met Dells beveiligingscertificaten en ook Lenovo kreeg vorig jaar al eens een storm over zich heen nadat bleek dat het adware meeleverde op zijn pc’s.