近来网络上一片风起云涌,勒索病毒频繁爆发,微软Win10源代码泄露,小红书用户信息泄露,摄像头频被破解,网络安全市场哀嚎遍地。安在(ID:AnZer_SH)最近在关注此类事件同时,无意发现一件有意思的事情。
据澳大利亚AFR网站2013年7月29日报道,澳大利亚、美国、英国、加拿大、新西兰五国政府担忧联想电脑“容易遭受攻击”,因此命令其国防部及情报部门禁用联想电脑。虽是一件旧闻,却相当值得深究,对此,安在(ID:AnZer_SH)特地去查询了相关信息。
据安在(ID:AnZer_SH)检索到的信息显示:英国和澳大利亚的情报部门、国防部消息确认,目前有明确的书面禁令禁止在一些特定的网络中使用联想电脑。报道称,2005年前后,多项检测结果均显示,在联想电脑的芯片中存在自制“后门”和“漏洞”,随后一些国家出台了上述禁令。澳大利亚国防部发言人也证实,该国高级信息网络从未被授权使用联想产品。
到底政府部门为什么对联想有此禁令?
据悉,2015年2月21日早间消息,美国政府周五表示,联想电脑的用户应当移除某些型号笔记本中预装的Superfish软件。这一软件会带来信息安全风险。
美国国土安全部也在一条警示中表示,Superfish有可能导致笔记本用户遭到SSL欺诈攻击。在这种攻击中,远程攻击者能够读取加密的网络流量,将流量从合法网站重定向至其他来源,从而进行欺诈。
这就尴尬了嘛。被政府集体怼可还行。
并且,2015年8月,联想被爆部分PC存在BIOS安全问题。这项漏洞源于包含了联想称之为Lenovo Service Engine(LSE,联想服务引擎)特性的BIOS固件,实际上也就是采用了微软的一项Windows机制,此特性存在于不少面向消费用户的PC产品上。此问题最早是由独立安全研究人员Roel Schouwenberg指出的。
在和Schouwenberg的合作下,联想与微软的确发现,此程序可被黑客利用,包含了“缓冲区溢出攻击以及针对联想测试服务器的攻击连接”。
2014年2月,央视《每周质量报告》中,央视点名了几款手机易被安全漏洞攻击。而安在(ID:AnZer_SH)发现联想赫然在列。
在电视节目中,央视称,配置一个公共钓鱼的免费WiFi,一套无线路由器,黑客就可轻松窃取上网用户的网银密码、账号。手机专家提醒:联想、小米2、三星Galaxy S4、谷歌的Nexus4及华为等手机机型皆存在易被攻击的安全漏洞,大家尽量不要用免费WiFi进网银、支付宝。
安全专家称,有黑客在商场等建免费WiFi盗取个人信息,应尽量避免使用免费又不需要密码的WiFi,同时也要留心不要掉入名称相近的钓鱼WiFi陷阱。平常最好关闭手机WiFi自动连接功能,以免自动扫描并连接上不设密码的钓鱼WiFi网络。
呃,点名这几款手机,是因为它们的用户量比较大,受害案例比较多的缘故么?
无风不起浪,漏洞的存在并不是秘密,早晚会公之于众。
而2016年12月,研究人员们又发现,联想某些廉价的Android智能手机和平板中内置了恶意的固件,这些固件会从手机上收集数据,在软件上覆盖广告,还能下载一些无用的软件APK。
还有研究员调查了俄罗斯市场中销售的MTK平台手机,发现了固件中存在的两种downloader木马。
这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。
影响手机列表显示为:联想A319以及联想A6000
恩,看来被央视点名也无可厚非,确实问题不少。
除去PC、手机,联想的净化器也被爆出存在漏洞。
2015年7月,国内安全网络反馈平台乌云提交了联想净化器漏洞。联想X330空气净化器绕过用户绑定可任意控制他人设备漏洞,这一漏洞危害等级被标注为“高”。
漏洞概要
提交净化器漏洞的作者宋兵甲对该漏洞的描述为,“使用错误的设备密码调用联想X330净化器的特定接口,服务器会返回正确的密码,利用这个正确的设备密码,就可以控制任意在线的X330设备。由于使用了同款APP,该漏洞同时影响到Luftmed多款净化器设备。”
漏洞被爆到底是否引起了联想重视?
安在(ID:AnZer_SH)查找了大量资料,发现2016年6月,联想笔记本被曝UEFI零日漏洞可绕过Windows安全机制。独立安全研究员Dymtro
Oleksiuk发现联想笔记本存在一个未被修复的UEFI零日漏洞,随后他发现其它一些OEM产品也被波及,包括惠普笔电和技嘉主板等部分产品。这种漏洞存在于多款UEFI固件包里的系统管理模块(SMM)源代码中,能够绕开Windows10内建的设备保护等安全保护机制。
联想随后回应称该漏洞并非来自自家代码,而是源于Intel提供的IBV(独立BIOS供应商)代码。
而Dmytro
Oleksiuk则称这个漏洞并不新鲜,Intel工程师2014年就修复了,不知为何许多厂商的UEFI源码中包含了老版本漏洞。
2016年6月,联想周四发表安全公告,称该公司在超过110个型号的笔记本电脑和台式机中预装的Lenovo
Accelerator Application存在安全漏洞,建议用户删除。
恩,只是提醒用户删除,后续是否修复并未可知。跟前一阵的勒索病毒如出一辙嘛。我提醒了你这里有个漏洞,你要记得删除(或修复)。看见的删除(或修复)了而侥幸逃过一劫,其余的就自求多福嘛。
另2016年7月5息,据GitHub消息,一位名为Dymtro
Oleksiuk(绰号”Cr4sh”)的安全研究人员宣称已经在联想的电脑设备上找到了一处漏洞,该漏洞如果被黑客利用,将能够改动Windows的基本安全机制。
Dymtro
Oleksiuk表示,该漏洞所在的驱动来自Intel,这意味着可能其他OEM厂商的设备也会受此影响,惠普2010年发布的一款Pavilion系列笔记本已经进入了易被攻击设备名单。值得一提的是,联想官方曾经私下找过Dymtro
Oleksiuk,希望将事情影响减小,然而Dymtro
Oleksiuk还是将这一发现公之于众。
安在(ID:AnZer_SH)想说,在网络越发普及的时代。网络漏洞的存在,简直是一个产品的致命存在,尤其是比较致命的漏洞。曝不曝只是时间问题,并不是掩盖了就能相安无事。还是早日找到漏洞并及时修复解决为好。用户已经越来越注重自身安全,若产品一味追求利益而忽略用户安全,想必口碑对销量的影响也是相当巨大。
不管是PC、手机甚至净化器,每一个产品的安全问题都影响着人们的生活,资金、信息乃至人身安全,切不可忽视。用心做好产品,才能真正令人叫好。
【推荐阅读】
