有國(guó)外聯(lián)想用戶發(fā)現(xiàn),聯(lián)想使用了Windows的一個(gè)鮮為人知的功能安裝聯(lián)想的軟件和更新,即使重裝系統(tǒng)之后,該問(wèn)題仍然存在。
這一異常現(xiàn)象首先被Art Techinca論壇用戶ge814發(fā)現(xiàn),并得到了Hacker News用戶chuckup的證實(shí)。
這兩名用戶在5月份發(fā)現(xiàn),他們的新聯(lián)想電腦會(huì)在每次重啟的時(shí)候悄悄地自動(dòng)替換一個(gè)系統(tǒng)文件,被替換的系統(tǒng)文件會(huì)下載聯(lián)想更新程序,然后自動(dòng)安裝軟件,即使從DVD重新安裝系統(tǒng)都無(wú)法解決這個(gè)問(wèn)題。
聯(lián)想這一做法的問(wèn)題是,聯(lián)想未能事先告知用戶,即使全新安裝系統(tǒng)都無(wú)法解決這個(gè)問(wèn)題。事實(shí)上,聯(lián)想利用了rootkit保證其軟件在刪除后又能重新安裝。
該機(jī)制由聯(lián)想服務(wù)引擎(Lenovo Service Engine)觸發(fā),該引擎會(huì)自動(dòng)下載一鍵優(yōu)化(OneKey Optimizer)。根據(jù)聯(lián)想的描述,這個(gè)一鍵優(yōu)化程序“能夠升級(jí)固件、驅(qū)動(dòng)和預(yù)裝程序以提升計(jì)算機(jī)性能,還能掃描垃圾問(wèn)題,發(fā)現(xiàn)影響系統(tǒng)性能的問(wèn)題。”
OneKey Optimizer還會(huì)“向聯(lián)想服務(wù)器發(fā)送系統(tǒng)數(shù)據(jù),幫助我們了解用戶如何使用我們的產(chǎn)品”,聯(lián)想聲稱不會(huì)收集個(gè)人身份信息。但問(wèn)題是,用戶毫不知情,
如果用戶安裝的是Windows 7或8系統(tǒng),聯(lián)想筆記本的BIOS會(huì)自動(dòng)檢查‘C:Windowssystem32autochk.exe’是微軟文件還是聯(lián)想簽名文件,然后用自己的文件覆蓋該文件。
被替換的autochk文件會(huì)在重啟后運(yùn)行,并生成兩個(gè)新文件LenovoUpdate.exe和LenovoCheck.exe,這兩個(gè)文件會(huì)生成一項(xiàng)新服務(wù)并在用戶聯(lián)網(wǎng)的時(shí)候下載文件。
聯(lián)想已經(jīng)悄悄地修改了部分問(wèn)題,但沒(méi)有聲張。
在7月31日的安全公告里,聯(lián)想模糊地提到發(fā)現(xiàn)了聯(lián)想服務(wù)引擎上的一個(gè)漏洞,該漏洞可能會(huì)讓攻擊者利用該機(jī)制通過(guò)惡意服務(wù)器安裝軟件。
聯(lián)想在2015年4月至5月之間發(fā)布補(bǔ)丁徹底去掉該功能。但是,用戶沒(méi)有自動(dòng)收到該補(bǔ)丁,而且需要手動(dòng)操作禁用該功能。
讓我們感到意外的是,聯(lián)想使用的這個(gè)機(jī)制實(shí)際上是一項(xiàng)得到微軟認(rèn)可的技術(shù),稱為“Windows Platform Binary Table”。該技術(shù)在2011年推出,今年7月第一次得到更新。
該文檔到今天為止只在網(wǎng)上被提到過(guò)兩次,其中一次是聯(lián)想軟件工程師在解決筆記本ACPI表格問(wèn)題時(shí)發(fā)帖求助。
Windows Platform Binary Table允許計(jì)算機(jī)制造商利用BIOS向系統(tǒng)推送軟件并安裝,這意味著無(wú)論用戶是否全新安裝了系統(tǒng),該問(wèn)題會(huì)一直存在。
在聯(lián)想利用該技術(shù)安裝自家程序的做法被曝光之后,微軟官方的Windows Platform Binary Table描述文檔被修改,稱該技術(shù)是為了讓像“反盜竊軟件”之類的“重要軟件”在系統(tǒng)重裝之后仍然安裝在電腦里,但是聯(lián)想等計(jì)算機(jī)制造商很顯然對(duì)此有不同的解讀。
計(jì)算機(jī)制造商應(yīng)該確保,在發(fā)現(xiàn)攻擊之后,該機(jī)制可以升級(jí),而且用戶可以刪除。但是該文檔提出的規(guī)則相當(dāng)不嚴(yán)謹(jǐn),也不要求設(shè)備生產(chǎn)商通知告知該機(jī)制的存在。
前面所說(shuō)的兩名用戶皆不知在用DVD重裝系統(tǒng)之后聯(lián)想軟件是如何被安裝到電腦里的。
受此次問(wèn)題影響的機(jī)型有:Flex 2 Pro-15/Edge 15 (Broadwell/Haswell models)、Flex 3-1470/1570/1120、G40-80/G50-80/G50-80 Touch/V3000、S21e、S41-70/U40-70、S435/M40-35、Yoga 3 14、Yoga 3 11、Y40-80、Z41-70/Z51-70和Z70-80 / G70-80。
這次曝光讓筆者感到有點(diǎn)不安:現(xiàn)在你很難能用上真正干凈、未被修改的Windows系統(tǒng),計(jì)算機(jī)制造商會(huì)在用戶不知情的情況下偷偷安裝軟件。
除聯(lián)想之外,其他計(jì)算機(jī)制造商也有可能在不通知用戶的情況下使用該技術(shù)。
好消息是,聯(lián)想已經(jīng)發(fā)布修復(fù)該問(wèn)題的BIOS補(bǔ)丁,你可以從聯(lián)想官網(wǎng)下載。壞消息是,你要自己動(dòng)手。
京公網(wǎng)安備 11010502049343號(hào)