Lenovo und ihr Solution Center – Vertuschte Crapware

27 Aug

  • in ISMS
  • von
  • 0

Bereits Anfang 2016 war ein erheblicher Fehler im Lenovo Solution Center aufgetreten. Hierbei hat es sich um einen Sicherheitsfehler gehandelt, der auf fast allen Thinkpad-Notebooks sowie Geräten mit Windows ab Werk vorinstalliert war. Mithilfe dieser Lücke konnten Angreifer Fernzugriff auf die Rechner erhalten. Und auch im Jahr 2015 machte Lenovo schon Schlagzeilen, da ein Spyware Superfisch installiert war. Ein Spyware Superfisch ist hierbei eine vorinstallierte Software, die für eine Sicherheitslücke im System sorgt. Man nennt diese mittlerweile auch Adware oder Riskware. Hierfür mussten sie bereits einen Millionenstrafe zahlen. Jetzt soll es wieder Probleme mit der Lenovo Solution Center geben. Das Problem ist nicht die Schwachstelle an sich, sondern eher der Umgang von Lenovo mit dem Thema Sicherheit.

Aufgrund der Sicherheitslücke im Lenovo Solution Center sollen Angreifer mittels eines einfachen Tricks Zugriff auf das System erhalten. Nach dem Systemstart überschreibt das Lenovo Solution Center den Ordner mit der Zugangskontroll-Liste. In diesem Ordner sammelt Lenovo seine Log-Dateien und somit kann jeder Nutzer, welcher auf dem System angemeldet ist, diese Daten manipulieren. Zudem kann sich jeder beliebige Nutzer hierdurch Adminrechte zuschreiben. Dies wird auch als Crapware bezeichnet.

Obwohl das Problem eigentlich nicht so brenzlig ist, hat es Lenovo dennoch in die Schlagzeilen geschafft. Viel interessanter ist nämlich Lenovos Umgang mit der Sicherheitslücke. Das ursprüngliche Supportende war bis vor einigen Wochen noch auf den 30. November 2018 datiert. Somit sechs Wochen nach Veröffentlichung des letzten Updates. Kaum wurde die Sicherheitslücke jedoch bekannt, verschob Lenovo das Supportende auf den April 2018. Das würde bedeuten, dass das Supportende bereits sechs Monate vor dem letzten Update gewesen wäre. Man könnte sich die Frage stellen, ob Lenovo hierdurch versucht, das System älter wirken zu lassen, damit das Problem kleiner erscheint.

Die Lösung ist hierbei jedoch sehr simpel. Das Tool Lenovo Solution Center muss lediglich deinstalliert werden. Dies wäre ohnehin sinnvoll, da diese zu den vorinstallierten Programmen gehört, die keinen Nutzen für den Anwender haben. Hierzu muss die Systemsteuerung geöffnet werden, dann der Reiter Programme und Features gewählt werden. Es öffnet sich eine Liste, die dann nach dem Programm Lenovo Solution Center durchsucht werden muss. Letztendlich muss man nur noch auf Deinstallieren oder Entfernen klicken. Somit ist das Problem gelöst.

Dennoch bleibt der Umgang von Lenovo mit den Datenpannen fragwürdig. Vor allem, weil es sich um die zweite Sicherheitslücke im gleichen System handelt. Vor allem größere Unternehmen müssen wachsam sein, da es hier viele ältere Systeme gibt, die diese Crapware haben. Admins sollten ihre Systeme folglich stets auf diese Software überprüfen und am besten gleich deinstallieren.

Urheberrecht: © Uli-B auf Fotolia.com.

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.