Rootkit w laptopach Lenovo

[Anonymous]

Gdy ujawniono, że Samsung blokuje w swoich laptopach działanie usługi Windows Update, by ocalić sterowniki przed aktualizacją, wielu użytkowników zakrzyczało z oburzenia, mimo że blokowanie było wręcz korzystne dla użytkowników. Przed podobnym kryzysem wizerunkowym stoi teraz Lenovo, gdy odkryto, że chińska firma wykorzystuje rootkita, by uniemożliwić usunięcie swojego oprogramowania dla Windows – nawet sformatowanie dysku i zainstalowanie systemu Microsoftu z czystego nośnika tu nie pomaga.

Odkrycie, za którym stoi czytelnik serwisu Ars Technica ge814, i które zyskało rozgłos dzięki dyskusji na łamach Hacker News, nie jest bowiem czymś, czym Lenovo chciało się chwalić. Mechanizm zastosowany do wymuszenia instalacji oprogramowania Lenovo na komputerach tej firmy z Windows 7/8.1 nosi nazwę Lenovo Service Engine (LSE). Jego zadaniem jest pobranie aplikacji OneKey Optimizer, według Lenovo służącej do zwiększenia wydajności PC poprzez aktualizowanie firmware, sterowników i preinstalowanych aplikacji, wykrywanie plików-śmieci i innych czynników wpływających na wydajność systemu oraz dostarczenia schematów zarządzania energią, wydłużających czas pracy na baterii.Coś takiego jeszcze można by było znieść, w końcu kto by nie chciał większej wydajności systemu? Niestety ceną tej wydajności jest prywatność – Lenovo Service Engine „dzwoni do domu”, wysyłając na serwery Lenovo dane systemowe, dzięki którym firma może lepiej zrozumieć, jak klienci korzystają z jej produktów. Oficjalnie nie ma w tych danych niczego, co pozwoliłoby zidentyfikować użytkownika, twierdzi producent, jednak lista tego, co jest wysyłane, jest zaskakująco długa, obejmuje nazwę produktu, region i mnóstwo parametrów sprzętowych.

Jak się tego pozbyć? Z perspektywy zwykłego użytkownika laptopa z Windows nie bardzo jest jak. BIOS komputera sprawdza plik C:\Windows\system32\autochk.exe. Jeśli jest to plik dostarczony przez Lenovo, podpisany kluczem firmy, nic nie robi. Jeśli jest to zwykły plik Microsoftu, z czystego Windows, zostaje on nadpisany przez wersję producenta. To wystarczy, by po ponownym uruchomieniu komputera zmodyfikowany plik autochk.exe został uruchomiony, zakładając w systemie dwa kolejne pliki – LenovoUpdate.exe oraz LenovoCheck.exe. Służą one do zainstalowania usługi systemowej i pobrania instalatora OneKey Optimizera zaraz po podłączeniu komputera do Sieci.

Można pomyśleć, że taki mechanizm to wymarzony wektor ataku dla cyberprzestępców. I rzeczywiście, już w lipcowym biuletynie bezpieczeństwa wspomniano o podatności w Lenovo Service Engine, dzięki której złośliwy serwer mógł zdalnie instalować oprogramowanie na komputerze ofiary. By rozwiązać problem, wydano nową wersję BIOS-u, wyłączającą ten mechanizm i ogłoszono, że LSE nie będzie już instalowane na nowych komputerach, gdyż nie jest zgodne z najnowszymi wytycznymi Microsoftu.

Sęk w tym, że Microsoft na takie działania pozwalał od 2011 roku, kiedy to wraz z Windows 8 wprowadzono mechanizm o nazwie Windows Platform Binary Table. Pozwala on umieścić w firmware komputera oprogramowanie, które zostanie uruchomione przez Windows. Zmiany w wytycznych, o których wspomina Lenovo, wprowadzono w związku z premierą Windows 10. Nowe wytyczne mówią, że mechanizm musi być możliwy do zaktualizowania w razie odkrycia ataku przeciwko niemu i powinien być możliwy do wyłączenia przez użytkownika. Producent nie jest jednak niczym zobowiązany do tego, by o działaniu takiego mechanizmu swoich klientów informować.

To poważne zagrożenie dla prywatności raczej z „okienek” samo nie zniknie – usankcjonowane przez Microsoft rootkity producenta należy postrzegać jako część platformy Windows. Na szczęście świadomi zagrożenia użytkownicy będą mogli sami je wyłączyć. W wypadku Lenovo użytkownicy mogą już pobrać narzędzie wyłączające LSE. Dotyczy to całkiem sporej gamy sprzętu, z oficjalnej listy wynika, że rootkit znajdował się w praktycznie wszystkich laptopach poza Thinkpadami. Zabezpieczyć się w ten sposób powinni więc posiadacze komputerów Lenovo Flex 3 1120, G70-80, Y40-80, Flex2 pro 15(BDW), Flex2 pro 15(HSW), S41-70, Flex3 1470/1570, Yoga 3 14, G40-80, G50-80, G40-80m, G50-80m oraz Z70-80.

źr- dobreprogramy.pl

narzędzie wyłączające to ustrojstwo :

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[al]

Źródło gdzie wszystko się zaczęło i dalej trwa dyskusja:

Zaloguj lub Zarejestruj się aby zobaczyć!