聯想(Lenovo)於本周敦促用戶移除聯想品牌電腦上內建的Lenovo Accelerator,原因為該軟體含有可惹來中間人攻擊的安全漏洞。
Lenovo Accelerator主要是用來加速聯想程式的執行,被安裝在某些預載Windows 10作業系統的桌機或筆電上。
聯想說明,相關漏洞藏匿在Lenovo Accelerator的更新機制中,該更新機制可連結聯想伺服器以確認有否可供更新的軟體版本。
安全研究公司Duo Security日前即曾警告五大PC品牌電腦所內建的更新機制含有中間人攻擊風險(man-in-the-middle, MITM),被點名的業者包括Dell、HP、Asus、宏碁與聯想,並指出聯想的UpdateAgent是最糟糕的更新機制之一,它每十分鐘就會連結聯想伺服器,而且採用未加密的HTTP通訊協定,很容易讓駭客趁虛而入。
此次的漏洞顯然與Duo Security的研究有關,因為聯想在聲明稿下方提供了Duo Security的參考連結。
聯想指示使用者可透過Windows 10中的Apps and Features直接將Lenovo Accelerator移除。該漏洞影響了數十款型號的聯想個人電腦,但並不包含ThinkPad及ThinkStation兩大品牌。