Dat meldt beveiligingsbedrijf IOActive (pdf), dat spreekt van een “gigantisch beveiligingsprobleem”. Door het lek zou het onder meer mogelijk zijn voor hackers om een nep-certificaat te maken, waardoor malware vermomd kan worden als officiële Lenovo-software.
Door het lek zijn Lenovo-laptops kwetsbaar voor een zogeheten ‘man in the middle’-aanval, of de ‘klassieke koffiezaak-truc’, zoals IOActive het noemt. Een hacker die op hetzelfde onbeveiligde wifi-netwerk zit als de laptop zou de data die verstuurd wordt door het apparaat kunnen onderscheppen of aanpassen.
Het lek werd al in februari gevonden door IOActive, waarna Lenovo is ingelicht zodat de Chinese fabrikant de problemen kon verhelpen. Een maand geleden is er een patch uitgebracht waarmee de problemen worden verholpen, maar gebruikers moeten die patch wel zelf installeren om hun computer te beschermen tegen hackaanvallen.
Drie maanden geleden kwam Lenovo, ‘s werelds grootste computerfabrikant, ook al negatief in het nieuws door een groot beveiligingsprobleem. De zogenoemde Superfish-adware die Lenovo standaard meeleverde op zijn apparaten een groot beveiligingslek met zich mee te brengen. Lenovo leverde de software tot januari van dit jaar standaard mee op veel van zijn producten.