Lenovo efter bagdørsbeskyldning: Vi har forgæves forsøgt at samarbejde med sikkerhedsforsker
Lenovo arbejder på at løse et sikkerhedsproblem i flere maskiner fra pc-producenten. Det meddelelser Lenovo i en skrivelse til Version2, sendt via virksomhedens danske pressekontakt.
Henvendelsen fra Lenovo sker i forlængelse af, at Version2 tidligere i dag bragte et blogindlæg fra Poul-Henning Kamp, der er udvikler på kernen til FreeBSD.
Blogindlægget har titlen 'Lenovo-computere har indbygget bagdør'. Her skriver Poul-Henning Kamp blandt andet:
»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv.«
Anledningen er et indlæg fra en anden sikkerhedsblogger, Dmytro Oleksiuk, som Poul-Henning Kamp linker til.
Her fortæller Oleksiuk om, hvad han beskriver som en zero-day-sårbarhed i firmwaren på tværs af en lang række Lenovo-modeller og firmware-versioner. Sårbarheden går det ifølge Oleksiuk muligt at eksekvere vilkårlig SMM-kode (System Management Mode) uden om styresystemet.
I et debat-indlæg under sit blogindlæg opsummerer Poul-Henning Kamp lidt af problematikken, som Oleksiuk beskriver i sit indlæg.
»... to lag under BIOS'en ...«
»Det er et hul ned i kode, der kører to lag under BIOS'en i maskinen, og der er intet, man som bruger kan gøre, hverken med reinstallationer af operativsystem, virusscan eller noget andet,« skriver Kamp og fortsætter:
»Yderligere har den del af hardware/firmware direkte adgang til hardwaren på et niveau, der gør at der kan opretholdes netværksforbindelser, som ikke kommer i nærheden af operativsystemets firewall-faciliteter.«
Lenovo har givetvis også læst indlægget fra Oleksiuk. I hvert fald skriver virksomheden i mailen, som Version2 har modtaget:
»Lenovos Product Security Incident Response Team (PSIRT) er klar over påstande, som en uafhængig forsker er kommet med i forhold til en sårbarhed i SMM BIOS, som påvirker visse Lenovo ThinkPad-brandede og IdeaPad-brandede enheder. Lenovos Product Security Incident Response Team har foretaget flere mislykkede forsøg på at samarbejde med forskeren i forhold til denne sårbarhed. Vi arbejder på at udvikle et fix, som vil blive posted, så snart det er tilgængeligt, på Lenovo Product Security Advisories-websitet: https://support.lenovo.com/us/en/product_security/home.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.