Na początku października Lenovo udostępniło cztery łatki bezpieczeństwa. Tego typu zachowanie jest standardową praktyką dla większości firm. Dzięki temu użytkownicy otrzymują poprawki, które uniemożliwiają ataki lub wyciek danych. Badacz Imre Rad, który znalazł luki w oprogramowaniu, poinformował, że problem dotyczy Lenovo Service Framework (LSF)[1]. Jest to aplikacja, wykorzystywana przez kilka innych programów pracujących pod kontrolą systemu Android, ale jest obecna wyłącznie na urządzeniach Lenovo.
Podatne urządzenia to wszystkie tablety Lenovo z systemem Android oraz telefony Lenovo VIBE, ZUK, Moto M (XT1663) oraz Moto E3 (XT 1706).
Zgodnie z opisem na stronie firmy[2], LSF jest wykorzystywany do otrzymywania powiadomień (push) z serwerów Lenovo np. o rekomendowanych aplikacjach do pobrania, nowościach czy ankietach. W niektórych przypadkach, ta forma komunikacji ma ułatwić naprawę aplikacji i aktualizacje. Luki znalezione przez badacza mogą zostać użyte przez szkodliwe oprogramowanie do pobrania i zdalnego wykonania złośliwego kodu.
Według informacji zamieszczonej na stronie Pomocy Lenovo, poprawiona wersja LSF została oznaczona jako V4.8.0.2403. Aplikacja powinna uaktualnić się automatycznie. Można to zweryfikować poprzez przejście do sekcji Ustawienia – Aplikacje – Device Service. Jeżeli wciąż zainstalowana jest wersja podatna na atak, aktualizacja może zostać pobrana również ręcznie ze strony producenta.
Wszystkie osoby korzystające z produktów Lenovo powinny jak najszybciej sprawdzić czy posiadają poprawioną wersję aplikacji. Przy tej okazji zachęcam do zapoznania się z innymi tekstami poświęconymi tematyce aktualizacji, z których dowiecie się dlaczego jest to jedna z najważniejszych czynności podnoszących bezpieczeństwo urządzenia.
[1] https://threatpost.com/lenovo-quietly-patches-massive-bug-impacting-its-android-tablets-and-zuk-vibe-phones/128489/
[2] https://support.lenovo.com/pl/en/product_security/len-15374