Brukte «BIOS»-funksjon til å installere hardnakket crapware

Nå kan den endelig slettes fra Lenovos pc-er.

Lenovo Flex 3 er blant pc-ene som har blitt levert med Lenovo Search Engine.
Lenovo Flex 3 er blant pc-ene som har blitt levert med Lenovo Search Engine. Bilde: Lenovo
Harald BrombachHarald BrombachNyhetsleder
13. aug. 2015 - 12:32

Kunder av forbrukerutgavene av Lenovos pc-er er ikke akkurat ukjente med at uønsket programvare med tvilsom verdi følger med maskinene. Slike programmer kalles gjerne for crapware eller drittvare. Ikke minst skandalen rundt Superfish-programmet, en sak som for alvor brøt løs i februar i år, skal ha fått Lenovo over på bedre tanker.

Les mer: Lenovo skal droppe «crapware» 

Lenovo Service Engine

Men nå vekker selskapet igjen oppsikt med et nytt tilfelle av slik programvare. Mange pc-er som ble produsert mellom den 23. oktober 2014 og den 10. april 2015 er utstyrt med et helt spesielt program som Lenovo selv står bak, kalt Lenovo Service Engine (LSE).

Det spesielle med dette er at denne programvaren har vært så godt som umulig å bli kvitt. Ikke engang en formattering og nyinstallasjon av Windows hindret at Lenovo Service Engine har blitt installert helt automatisk på pc-en.

Måten dette er gjort på, er at Lenovo har utnyttet en funksjon i Windows – Windows Platform Binary Table (WPBT) – som gjør at Windows ser etter eventuelle, kjørbare programmer som ligger i pc-en «BIOS»-fastvare, hver gang operativsystemet startes opp. Det hele kan minne litt om et slags rootkit.

På stasjonære maskiner skal ikke LSE gjøre annet enn å sende systemdata til en Lenovo-server først gang pc-en kobles til internett. Deretter skal tjenesten deaktiveres. Dataene som sendes skal kunne brukes til å identifisere personer, men inkluderer likevel en unik system-ID og region.

På visse bærbare pc-er skal LSE i tillegg «hjelpe» brukerne med å laste ned optimaliseringsprogramvaren OneKey Optimizer.

Inntektssvikt: Lenovo varsler betydelige stillingskutt 

Sikkerhetsrisiko

I løpet av våren skal Lenovo har blitt kjent med at det finnes en sårbarhet i tilknytning til LSE. Denne kunne utnyttes av angripere. I april og mai kom Lenovo derfor med sikkerhetsoppdateringer til pc-fastvaren. Men dette er ikke noe som blir automatisk installert.

Som følge av disse oppdagelsene endret Microsoft sikkerhetsforskriftene for bruk av WPBT i begynnelsen av juli. LSE er ikke forenlig med disse forskriftene og derfor har Lenovo besluttet at LSE ikke skal brukes lenger. Selskapet skal i juni ha sluttet å inkludere LSE i nye pc-er.

Den 31. juli i år kom selskapet med programvare som kan fjerne LSE fra henholdsvis bærbare og stasjonære systemer. Men det er først nå oppdateringene har blitt kjent gjennom pressen, blant annet hos Ars Technica.

Før man kjører avinstallingsverktøyet, bør man først oppdatere til den nyeste utgaven av fastvaren til maskinen. Da vil man også kunne deaktivere LSE-funksjonaliteten som finnes der.

Bakgrunn: Lenovo leverte mange pc-er med alvorlig skadevare 

Berørte maskiner

Listene nedenfor inkluderer de berørte systemene som har blitt solgt på utsiden av Kina. Ingen Thinkpad-maskiner er berørt.

Lenovo Notebook

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA
  •         Flex 2 Pro 15 (Broadwell)
  •         Flex 2 Pro 15 (Haswell)
  •         Flex 3 1120 
  •         Flex 3 1470/1570
  •         G40-80/G50-80/G50-80 Touch
  •         S41-70/U41-70
  •         S435/M40-35
  •         V3000 
  •         Y40-80
  •         Yoga 3 11 
  •         Yoga 3 14
  •         Z41-70/Z51-70
  •         Z70-80/G70-80

Lenovo Desktop World Wide

  •         A540/A740
  •         B4030
  •         B5030
  •         B5035
  •         B750
  •         H3000
  •         H3050
  •         H5000
  •         H5050
  •         H5055
  •         Horizon 2 27
  •         Horizon 2e(Yoga Home 500)
  •         Horizon 2S
  •         C260
  •         C2005
  •         C2030
  •         C4005
  •         C4030
  •         C5030
  •         X310(A78)
  •         X315(B85)

Les mer: Advarer mot angrep via Superfish 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra