新聞 > 科教 > 正文

專家再披露:聯想Thinkpad預裝黑客後門

華府智庫布魯金斯學會日前舉行網絡安全研討會,專家指出中共利用軍隊從事網絡黑客與間諜活動,不僅控制和打壓國內民眾,還入侵美國公司和政府,試圖從中竊取機密以獲取經濟和政治利益。(Joe Raedle/Getty Images)

獨立資訊安全專家披露,聯想電腦(Lenovo)存在重大安全漏洞,其所有Thinkpad品牌的BIOS留有可讓黑客進入的後門。

獨立安全專家德米特羅·奧雷修克(Dmytro Oleksiuk)近日在網絡發布信息指出,這個韌體上的漏洞可以讓黑客繞過Windows的基本安全協議(System Management Mode,簡稱SMM),對電腦進行攻擊。

此漏洞被業界命名為「ThinkPwn」。奧雷修克在計算機開原始碼信息平台GitHub提供了相關代碼片段和編程命令。

奧雷修克在說明文件(readme.txt)中描述,這種代碼可以造成聯想電腦的UEFI韌體(GUID7C79AC8C-5E6C-4E3D-BA6F-C260EE7C172E)易受零時攻擊(0 day)的漏洞。

奧雷修克在網絡披露聯想電腦存在的安全問題。(github.com網頁截圖)

奧雷修克在網絡披露聯想電腦存在的安全問題。(github.com網頁截圖)

奧雷修克懷疑這是一種預先設定的黑客後門。奧雷修克說:「該漏洞可見於所有聯想的ThinkPad系列筆記型電腦,以及我的舊款聯想Thinkpad X220和新款T450s。」

黑客可以使用該漏洞,在遠程關閉受害電腦的防寫、獲得訪問系統管理模式、禁用電腦安全啟動功能等等。

奧雷修克還指出,這個易受攻擊代碼是聯想公司將因特爾的8-系列晶片參考代碼原封不動拷貝粘貼過去的。但是這個代碼未被公開,僅在一些英特爾開源韌體中能見到,而且英特爾在2014年的年中將此漏洞給予了修補。

據業界安全信息網站securityaffairs.co7月4日報導,網絡界流傳一個說法是,ThinkPwn漏洞是有意留下的攻擊後門。聯想集團公開表示提供這些代碼和韌體的是「獨立BIOS提供商」,但聯想沒有說明提供商的名稱。

近年來,聯想電腦連續爆出預裝惡意軟體的重大安全問題。2015年2月,聯想電腦被指控預裝「超級魚」(Superfish)惡意廣告程序,可以繞過電腦加密系統,盜取用戶隱私數據,並讓設備更易遭受攻擊。

2013年,《澳洲金融報》曾報導,聯想電腦因硬碟設有「後門」和存在晶片漏洞,被澳大利亞、美國、英國、加拿大、紐西蘭等五個國家的情報機構禁止使用。

高科技公司IBRS的IT安全分析師詹姆斯·特納(James Turner)表示,聯想電腦的韌體「後門」通常被設計得像一個程序疏忽,一般是通過遠程激活發揮作用。

責任編輯: 楚天  來源:大紀元記者張秉開編譯報導 轉載請註明作者、出處並保持完整。

本文網址:https://tw.aboluowang.com/2016/0707/766086.html