Sicherheitslücke: Lenovo rät zur Deinstallation vorinstallierter Anwendung

Der Computerhersteller Lenovo warnt vor einer Sicherheitslücke in einer Anwendung, die auf Windows-10-Rechnern vorinstalliert ist. Die Accelerator App soll den Start anderer vorinstallierter Lenovo-Anwendungen beschleunigen.

Artikel veröffentlicht am ,
Lenovo warnt vor der eigenen Bloatware.
Lenovo warnt vor der eigenen Bloatware. (Bild: Sean Gallup/Getty Images)

Vorinstallierte Anwendungen sind für viele Windows-Nutzer ärgerlich. Lenovo warnt jetzt vor dem Programm Accelerator Application, das den Start anderer vorinstallierter Lenovo-Systemtools beschleunigen soll. Die Schwachstelle könnte mittels eines Man-in-the-Middle-Angriffs ausgenutzt werden, um Code auf dem Rechner des Opfers auszuführen.

Stellenmarkt
  1. Software Engineer (m/w/d) im Bereich Service Operations
    ASCon Systems GmbH, Stuttgart, München, Mainz
  2. IT-Systemadministrator
    ASCon Systems GmbH, Stuttgart, Mainz, München
Detailsuche

Der Fehler soll nach Angaben von Lenovo selbst bei einem unzureichend abgesicherten Updateserver liegen. Nach Angaben der Sicherheitsfirma Duo Security wird alle zehn Minuten eine Anfrage an susapi.lenovomm.com geschickt, um die Verfügbarkeit von Updates zu überprüfen. Ein Angreifer könnte die Abfrage mangels Verschlüsselung und Autorisierung manipulieren, indem er die übertragene JSON-Datei verändert und zum Beispiel Malware nachlädt. Lenovo stellt eine vollständige Liste aller betroffenen Systeme bereit.

Andere App von Lenovo war sicher

Wieso Lenovo bei der Accelerator-App auf beide Sicherheitsfeatures verzichtet, ist unklar. Denn im von Duo Security durchgeführten Vergleichstest vorinstallierter Tools fiel eine andere Anwendung, das Lenovo Solution Center, als einzige App positiv auf. Hier werden TLS zur Verschlüsselung und Signaturen eingesetzt.

In dem Test wurden auch Programme von Dell, Asus und Hewlett-Packard getestet. Fast alle wiesen Sicherheitslücken auf. Einige der Probleme, wie das von Dell eingesetzte eDell-Root-Zertifikat, waren aber schon vorher bekannt und wurden mittlerweile behoben.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

Erst im Januar war Lenovos Shareit-App durch ein unsicheres Standardkennwort aufgefallen. Mit Shareit können Nutzer einfach Dateien zwischen Geräten austauschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Spielebranche
Microsoft will Activision Blizzard übernehmen

Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Spielebranche: Microsoft will Activision Blizzard übernehmen
Artikel
  1. Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
    Bundesservice Telekommunikation  
    Die dubiose Adresse in Berlin-Treptow

    Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
    Ein Bericht von Friedhelm Greis

  2. Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible
     
    Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible

    Kaum ein Unternehmen kommt künftig ohne Cloud aus. In drei Online-Kursen der Golem Akademie erfahren Teilnehmende die Grundlagen klassischer Cloud-Themen.
    Sponsored Post von Golem Akademie

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /