Rootkit w laptopach Lenovo modyfikował Windows po swojemu – w zgodzie z wytycznymi Microsoftu

Rootkit w laptopach Lenovo modyfikował Windows po swojemu – w zgodzie z wytycznymi Microsoftu

13.08.2015 11:27, aktualizacja: 13.08.2015 12:58

Gdy ujawniono, że Samsung blokuje w swoich laptopach działanieusługi Windows Update, by ocalić sterowniki przed aktualizacją,wielu użytkowników zakrzyczało z oburzenia, mimo że blokowaniebyło wręcz korzystne dla użytkowników. Przed podobnym kryzysemwizerunkowym stoi teraz Lenovo, gdy odkryto, że chińska firmawykorzystuje rootkita, by uniemożliwić usunięcie swojegooprogramowania dla Windows – nawet sformatowanie dysku izainstalowanie systemu Microsoftu z czystego nośnika tu nie pomaga.

Odkrycie, za którym stoi czytelnik serwisu Ars Technica ge814, iktóre zyskało rozgłos dzięki dyskusji na łamach Hacker News, niejest bowiem czymś, czym Lenovo chciało się chwalić. Mechanizmzastosowany do wymuszenia instalacji oprogramowania Lenovo nakomputerach tej firmy z Windows 7/8.1 nosi nazwę Lenovo ServiceEngine (LSE). Jego zadaniem jest pobranie aplikacji OneKey Optimizer,według Lenovo służącej do zwiększenia wydajności PC poprzezaktualizowanie firmware, sterowników i preinstalowanychaplikacji, wykrywanie plików-śmieci i innych czynnikówwpływających na wydajność systemu orazdostarczenia schematów zarządzania energią,wydłużających czas pracy na baterii.

Obraz

Coś takiego jeszcze można by było znieść, w końcu kto by niechciał większej wydajności systemu? Niestety ceną tej wydajnościjest prywatność – Lenovo Service Engine „dzwoni do domu”,wysyłając na serwery Lenovo dane systemowe, dzięki którym firmamoże lepiej zrozumieć, jak klienci korzystają z jej produktów.Oficjalnie nie ma w tych danych niczego, co pozwoliłobyzidentyfikować użytkownika, twierdziproducent, jednak lista tego, co jest wysyłane, jest zaskakującodługa, obejmuje nazwę produktu, region i mnóstwo parametrówsprzętowych.

Jak się tego pozbyć? Z perspektywy zwykłego użytkownikalaptopa z Windows nie bardzo jest jak. BIOS komputera sprawdza plikC:\Windows\system32\autochk.exe.Jeśli jest to plik dostarczony przez Lenovo, podpisany kluczemfirmy, nic nie robi. Jeśli jest to zwykły plik Microsoftu, zczystego Windows, zostaje on nadpisany przez wersję producenta. Towystarczy, by po ponownym uruchomieniu komputera zmodyfikowany plikautochk.exe zostałuruchomiony, zakładając w systemie dwa kolejne pliki –LenovoUpdate.exe orazLenovoCheck.exe. Służąone do zainstalowania usługi systemowej i pobrania instalatoraOneKey Optimizera zaraz po podłączeniu komputera do Sieci.

Można pomyśleć, że takimechanizm to wymarzony wektor ataku dla cyberprzestępców. Irzeczywiście, już w lipcowym biuletynie bezpieczeństwa wspomnianoo podatności w Lenovo Service Engine, dzięki której złośliwyserwer mógł zdalnie instalować oprogramowanie na komputerzeofiary. By rozwiązać problem, wydanonową wersję BIOS-u, wyłączającą ten mechanizm i ogłoszono, żeLSE nie będzie już instalowane na nowych komputerach, gdyż niejest zgodne z najnowszymi wytycznymi Microsoftu.

Sęk w tym, że Microsoft natakie działania pozwalał od 2011 roku, kiedy to wraz z Windows 8wprowadzono mechanizmo nazwie Windows Platform Binary Table. Pozwala on umieścić wfirmware komputera oprogramowanie, które zostanie uruchomione przezWindows. Zmiany w wytycznych, o których wspomina Lenovo, wprowadzonow związku z premierą Windows 10. Nowe wytyczne mówią, żemechanizm musi być możliwy do zaktualizowania w razie odkryciaataku przeciwko niemu i powinien być możliwy do wyłączenia przezużytkownika. Producent nie jest jednak niczym zobowiązany do tego,by o działaniu takiego mechanizmu swoich klientów informować.

To poważne zagrożenie dlaprywatności raczej z „okienek” samo nie zniknie –usankcjonowane przez Microsoft rootkity producenta należy postrzegaćjako część platformy Windows. Na szczęście świadomi zagrożeniaużytkownicy będą mogli sami je wyłączyć. W wypadku Lenovoużytkownicy mogą już pobrać narzędzie wyłączająceLSE. Dotyczy to całkiem sporej gamy sprzętu, z oficjalnej listywynika, że rootkit znajdował się w praktycznie wszystkichlaptopach poza Thinkpadami. Zabezpieczyć się w ten sposób powinniwięc posiadacze komputerów Lenovo Flex 3 1120, G70-80, Y40-80,Flex2 pro 15(BDW), Flex2 pro 15(HSW), S41-70, Flex3 1470/1570, Yoga 314, G40-80, G50-80, G40-80m, G50-80m oraz Z70-80.

Zapraszamy też do zapoznania sięz interesującądyskusją na łamach Hacker News.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (73)