Lenovo heeft geen al te beste reputatie als het aankomt op de beveiliging van zijn pc’s, en daar komt nu een volgende incident bovenop. Veiligheidsonderzoeker Dymtro Oleksiuk stelt dat hij kwetsbare BIOS code heeft opgespoord die het mogelijk maakt voor een vaardige hacker om beveiligingsmechanismes op een computer compleet te ontwijken en de controle over te nemen.
Niet alleen
Oleksiuk geeft aan dat hij het lek in zo goed als alle Thinkpad laptops heeft gevonden, maar het is onduidelijk hoe wijdverspreid de kwetsbaarheid echt is. Dat heeft te maken met de locatie van de ontoereikende computercode: de software die Lenovo gebruikt is afkomstig van een derde partij, een gespecialiseerde BIOS-ontwikkelaar. Deze bedrijven verkopen hun software vaak aan meerdere fabrikanten, waardoor het goed mogelijk is dat ook andere merken risico lopen vanwege de kwetsbaarheid. Hetzelfde lek is ondertussen al teruggevonden in een HP Pavillion dv7-4087cl.
Achterpoortje?
Lenovo heeft een onderzoek geopend naar het lek en de oorspronkelijke ontwikkelaar die de code schreef. Het sluit daarbij niet uit dat die nog onbekende persoon bewust ontoereikende code heeft ingebouwd in de software en een achterpoortje creëerde. Het werkt daarnaast ook zo snel mogelijk aan een oplossing voor de kwetsbaarheid.
Het is nog maar een maand geleden dat Lenovo een terugroepactie moest organiseren om gevaarlijke bloatware van pc’s te halen. Vorig jaar bleek tevens dat de fabrikant corrupte adware op zijn laptops had geïnstalleerd.