Lenovo na svoje računalnike nameščal luknjičav crapware

Proizvajalec računalnikov Lenovo se je zopet znašel na tnalu, saj so britanski raziskovalci odkrili, da je prednaložena programska oprema Lenovo Solution Centre (LSC) luknjičava in zlikovcem omogoča prevzem nadzora nad sistemom. Lenovo je težavo priznal in na novih računalnikih odpravil. To ni prvi tovrstni problem, saj se je Lenovo že pred štirimi leti zapletel v veliko afero, ko so na njihovih računalnikih odkrili programsko opremo za ugrabljanje seje.

LSC je bil prednaložen na vseh računalnikih Lenovo od leta 2011 do konca lanskega novembra, ni pa čisto jasno, od kdaj je ranljivost prisotna v LSC. Gre za ranljivost DACL (discretionary access control list), ko LSC, ki teče z visokimi privilegiji, spremeni privilegije datoteke, ki jo lahko spreminjajo procesi s sicer nižjimi privilegiji. V praksi to pomeni, da je možno s hardlinkanjem doseči, da se poljubna koda izvede z administratorskimi privilegiji. Na računalniku z LSC lahko katerikoli uporabnik poganja kakršnokoli kodo z administratorskimi privilegiji. Lenovo je v odzivu dejal, da je LSC nepodprt že aprila 2018.

To ni prvi primer, ko je prednaložena programska oprema proizvajalcev vsebovala takšne ali drugačne luknje. V večini primerov ne gre za zlonamernost, temveč samo zelo površne ali napačne rešitve, ki vnašajo varnostnih problemov in tveganj. Zaradi tega je na novih računalnikih pogosto najbolje odstraniti čim več proizvajalčeve lastne opreme, če je res ne potrebujemo.