'Nieuw Lenovo-lek is slechts topje van de ijsberg'
08-05-2015 | door: Witold Kepinski

'Nieuw Lenovo-lek is slechts topje van de ijsberg'

Security-specialist IOActive heeft een grote lek gebonden in de software update system zo nledt het in een rapport (pdf). Door het lek kunnen hackers een nep-certificaat aanmaken, waardoor malware vermomd kan worden als onderdeel van Lenovo-software.  Data op Lenovo pc's zouden zo kwetsbaar zijn voor man in the middle aanvallen of hackers die via een Wi-Fi netwerk kunnen inbreken.

Kevin Bocek, vice president Security Strategy & Threat Intelligence bij Venafi laat zijn licht schijnen over nieuwste Lenovo-lek: “Het internet functioneert op basis van vertrouwen en is daardoor erg kwetsbaar. Ondernemingen en overheidsinstellingen die certificaten niet op de juiste manier valideren geven cybercriminelen de munitie in handen die ze nodig hebben om veiligheidsmaatregelen te omzeilen. Lenovo laat nu wederom zien dat zij, net als vele anderen, niet in staat is om het vertrouwen dat is ontstaan dankzij encryptiesleutels en digitale certificaten te waarborgen. Lenovo kon net als bedrijven als filmticketbureau Fandango, financieel dienstverlener Kredit Karma en ongeveer 40% van mobiele applicatie ontwikkelaars niet vaststellen of de certificaten van een betrouwbare autoriteit afkomstig waren. Nu ieder bedrijf uit de AEX wordt geconfronteerd met aanvallen op encryptiesleutels en digitale certificaten, heeft het internet meer dan ooit een immuunsysteem nodig om te kunnen bepalen wat veilig is, en wat niet."

Lenovo is bij lange na niet de enige commerciële partij die niet in staat is zijn digitale certificaten naar behoren te valideren – dit is slechts het topje van de ijsberg vervolgt Bocek: "Deze kwetsbaarheid laat echter wel goed zien dat als je certificaten in gevaar komen, andere veiligheidsmaatregelen ook onderuitgaan. Met een gecompromitteerd of nagemaakt certificaat kan iemand zich voordoen als een vertrouwde dienst en een man-in-the-middle-aanval uitvoeren, zonder dat hij misschien ooit ontdekt wordt. Hij kan lange tijd onder de radar blijven. Sleutels en digitale certificaten losten de eerste beveiligingsproblemen op internet op: wie is betrouwbaar en wat is privé? Maar nu we steeds meer kwetsbaarheden en aanvallen ontdekken, wordt het tijd om de beveiliging van die sleutels en certificaten heel serieus te nemen.”

Terug naar nieuws overzicht

Tags

Security
Security