Компания Lenovo объявила, что в программных оболочках ее сканеров отпечатков пальцев Fingerprint Manager Pro выявлен ряд уязвимостей, самая серьезная из которых — запрограммированный пароль, позволяющий получать доступ к персональным данным всем желающим.

В информационном бюллетене Lenovo указывается также, что эти данные, зашифрованы «слабым алгоритмом», а тот самый hard-coded пароль доступен пользователям «с локальным неадминистративным доступом» — то есть, всем.

Федеральная торговая комиссия США наложила штраф в размере 3,5 млн на одного из крупнейших мировых производителей электроники китайскую компанию Lenovo за выпуск сотен тысяч ноутбуков с предустановленным рекламным ПО.

Напомним, в феврале 2015 года на некоторых произведенных компанией Lenovo системах было выявлено предустановленное рекламное ПО, позволяющее среди прочего похищать конфиденциальные данные пользователей. FTC обвинила компанию в предустановке рекламного ПО VisualDiscovery от компании Superfish на некоторые из своих ноутбуков.

На все выпускаемые корпорацией Lenovo ноутбуки и настольные компьютеры установлено приложение, содержащее две опасные уязвимости. 

Одна из них даёт злоумышленникам полный контроль над компьютером жертвы, а другая позволяет им выключать антивирусы. Речь идёт об одном из самых бесполезных приложений (Lenovo Solution Center), которое производители настойчиво ставят на новые устройства по умолчанию. Приложение позволяет проверять ситуацию с антивирусами, делать резервные копии, обновлять софт Lenovo и прогонять различные аппаратные тесты.

После того как исследователи буквально разгромили предустановленное ПО на ноутбуках ряда компаний, включая Lenovo, официальные представители китайского бренда порекомендовали пользователям удалить одно из приложений.

Эксперты опубликовали большой отчет, суть которого сводится к следующему: на устройствах Acer, Asus, Dell, Hewlett-Packard и Lenovo «из коробки» установлен очень опасный софт. В основном это так называемое «избыточное ПО», установленное производителем в нагрузку, по договоренности с третьими сторонами. 

Компания Lenovo не впервые подвергается критике со стороны специалистов в области информационной безопасности. К примеру, на устройствах компании не раз обнаруживали предустановленное нежелательное ПО.

На этот раз эксперты компании Core Security изучили Windows и Android версии приложения SHAREit, которое Lenovo предлагает использовать для обмена файлами между различными устройствами. Судя по пяти найденным уязвимостям, о безопасности пользователей разработчики Lenovo по-прежнему не слишком тревожатся.

Исследователь в области информационной безопасности, известный под псевдонимом slipstream/RoL, обнаружил, что компьютеры и планшеты компаний  Dell, Toshiba и Lenovo небезопасны. Отыскав уязвимости в ПО всех трех производителей, хакер обнародовал в отрытом доступе экслплоиты.

Так как slipstream/RoL не потрудился поставить компании в известность о своих находках, под угрозой оказались миллионы пользователей. На своем сайте slipstream/RoL опубликовал все необходимые исходные коды и proof-of-concept эксплоиты.

У восстановленного с завода Thinkpad с предустановленной Windows 7 в планировщике есть приложение, которое включается раз в день и собирает данные о том, как вы используете компьютер.

После этого все сведения отправляются компании-аналитику. Информация о сборе данных присутствует в пользовательском соглашении, но зарыта очень глубоко. За последний год это уже третий скандал по поводу предустановленного шпионского ПО, в котором участвует Lenovo: сначала компания была поймана на установке Superfish.

На странное ПО в ноутбуках Lenovo первыми обратили внимание пользователи форумов. Как отмечал один из них, несколько недель назад он обнаружил в купленном компьютере китайского производителя вредоносную программу.

Владелец устройства выяснил: программа устанавливалась на ПК через сервис Lenovo Service Engine. Формально она предназначалась для улучшения производительности. В то же время ПО могло отсылать в компанию системные сведения, помогающие лучше понять, как человек использует продукты Lenovo.

Эксперты обнаружили серьезную уязвимость безопасности в системе обновления ноутбуков Lenovo. Она позволяет хакерам подделать сертификат авторизации и запустить исполняемый файл под видом «родной» программы.

Злоумышленники могут легко получать управление компьютерами Lenovo, а защита данных пользователей станет уязвимой. Используя дыры в системе обновления, хакеры без особого труда могут обойти системы проверки программного обеспечения, заменить фирменное ПО Lenovo на вредоносное, после чего запускать на ПК жертвы почти любые команды.

Блогер Джессика Беннет подала в суд на компанию Lenovo за предустановку рекламной программы Superfish. Истец обвиняет производителя техники во вторжении в личную жизнь и получении прибыли за счет изучения её поведения в интернете.

В своем заявлении она назвала Superfish «шпионской программой». Беннет заподозрила проблему в тот момент, когда она создавала запись на сайте клиента с ноутбука Lenovo Yoga 2. По её словам, она заметила «спам-рекламу, включающую в себя скудно одетых женщин» и решила, что её компьютер взломан.