2015年8月13日

聯想利用 Windows 隱藏功能強行安裝自家軟件

有國外聯想用戶發現,聯想使用了Windows的一個鮮為人知的功能安裝聯想的軟件和更新,即使重裝系統之後,該問題仍然存在。

這一異常現象首先被Art Techinca論壇用戶ge814發現,並得到了Hacker News用戶chuckup的證實。

這兩名用戶在5月份發現,他們的新聯想電腦會在每次重啟的時候悄悄地自動替換一個系統文件,被替換的系統文件會下載聯想更新程序,然後自動安裝軟件,即使從DVD重新安裝系統都無法解決這個問題。

聯想這一做法的問題是,聯想未能事先告知用戶,即使全新安裝系統都無法解決這個問題。事實上,聯想利用了rootkit保證其軟件在刪除後又能重新安裝。

該機制由聯想服務引擎(Lenovo Service Engine)觸發,該引擎會自動下載一鍵優化(OneKey Optimizer)。根據聯想的描述,這個一鍵優化程序「能夠升級固件、驅動和預裝程序以提升計算機性能,還能掃瞄垃圾問題,發現影響系統性能的問 題。」

OneKey Optimizer還會「向聯想服務器發送系統數據,幫助我們瞭解用戶如何使用我們的產品」,聯想聲稱不會收集個人身份信息。但問題是,用戶毫不知情,如 果用戶安裝的是Windows 7或8系統,聯想筆記本的BIOS會自動檢查『C:\Windows\system32\autochk.exe'是微軟文件還是聯想簽名文件,然後用自 己的文件覆蓋該文件。

被替換的autochk文件會在重啟後運行,並生成兩個新文件LenovoUpdate.exe和LenovoCheck.exe,這兩個文件會生成一項新服務並在用戶聯網的時候下載文件。

聯想已經悄悄地修改了部分問題,但沒有聲張。

在7月31日的安全公告裡,聯想模糊地提到發現了聯想服務引擎上的一個漏洞,該漏洞可能會讓攻擊者利用該機制通過惡意服務器安裝軟件。

聯想在2015年4月至5月之間發佈補丁徹底去掉該功能。但是,用戶沒有自動收到該補丁,而且需要手動操作禁用該功能。

讓我們感到意外的是,聯想使用的這個機制實際上是一項得到微軟認可的技術,稱為「Windows Platform Binary Table」。該技術在2011年推出,今年7月第一次得到更新。

該文檔到今天為止只在網上被提到過兩次,其中一次是聯想軟件工程師在解決筆記本ACPI表格問題時發帖求助。

Windows Platform Binary Table允許計算機製造商利用BIOS向系統推送軟件並安裝,這意味著無論用戶是否全新安裝了系統,該問題會一直存在。

在聯想利用該技術安裝自家程序的做法被曝光之後,微軟官方的Windows Platform Binary Table描述文檔被修改,稱該技術是為了讓像「反盜竊軟件」之類的「重要軟件」在系統重裝之後仍然安裝在電腦裡,但是聯想等計算機製造商很顯然對此有不 同的解讀。

計算機製造商應該確保,在發現攻擊之後,該機制可以升級,而且用戶可以刪除。但是該文檔提出的規則相當不嚴謹,也不要求設備生產商通知告知該機制的存在。
前面所說的兩名用戶皆不知在用DVD重裝系統之後聯想軟件是如何被安裝到電腦裡的。

受此次問題影響的機型有:Flex 2 Pro-15/Edge 15 (Broadwell/Haswell models)、Flex 3-1470/1570/1120、G40-80/G50-80/G50-80 Touch/V3000、S21e、S41-70/U40-70、S435/M40-35、Yoga 3 14、Yoga 3 11、Y40-80、Z41-70/Z51-70和Z70-80 / G70-80。

這次曝光讓筆者感到有點不安:現在你很難能用上真正乾淨、未被修改的Windows系統,計算機製造商會在用戶不知情的情況下偷偷安裝軟件。

除聯想之外,其他計算機製造商也有可能在不通知用戶的情況下使用該技術。

好消息是,聯想已經發佈修復該問題的BIOS補丁,你可以從聯想官網下載。壞消息是,你要自己動手。

联想利用Windows隐藏功能强行安装自家软件


http://news.mydrivers.com/1/442/442481.htm

沒有留言:

發佈留言