Početkom godine, Lenovo je postao metom sigurnosnih stručnjaka, ali i nezadovoljnih korisnika, koji su otkrili da je ovaj poznati proizvođač računala na neke od linija instalirao softver imena Superfish. On je omogućavao MITM (man-in-the-middle) napade na ta računala, a dok je taj dio priče koliko-toliko završen, stručnjaci su otkrili novu zabrinjavajuću ranjivost
Tim stručnjaka iz IOActive je otkrio ranjivosti u samom Lenovo sustavu za softversku nadogradnju računala. Ranjivost je dovoljno velika da je hakeri mogu iskoristiti za kreiranje lažnih certifikata za izvršne datoteke, čime računala vrlo jednostavno mogu biti zaražena s hrpom malwarea - dok se 'nadograđuju na najnoviju verziju softvera'.
'Proizvoljno izvršavanje naredbi koje šalje zlonamjerni napadač kako bi dobio visoki pristup računalu je vrlo značajan sigurnosni rizik', rekli su istraživači za SC Magazine. Najgora stvar u cijeloj priči je to što nije posrijedi jedna ranjivost, već nekoliko njih koje na ovaj ili onaj način ciljaju na onemogućavanje sigurnosnog sustava pri nadogradnji. Problem se nalazi u Lenovo System Update softveru u verziji 5.6.0.27 i ranijim.
Kroz isti sustav za nadogradnju (a kako drugačije), Lenovo je najavio kako se metoda autentifikacije mijenja kako bi korisnici ostali sigurni.
IOActive (.pdf) via SCMagazine