联想利用Windows隐藏功能强行安装自家软件
TNW 中文站 8 月 13 日报道
有国外联想用户发现,联想使用了 Windows 的一个鲜为人知的功能安装联想的软件和更新,即使重装系统之后,该问题仍然存在。
这一异常现象首先被 Art Techinca 论坛用户 ge814 发现,并得到了 Hacker News 用户 chuckup 的证实。
这两名用户在 5 月份发现,他们的新联想电脑会在每次重启的时候悄悄地自动替换一个系统文件,被替换的系统文件会下载联想更新程序,然后自动安装软件,即使从 DVD 重新安装系统都无法解决这个问题。
联想这一做法的问题是,联想未能事先告知用户,即使全新安装系统都无法解决这个问题。事实上,联想利用了 rootkit 保证其软件在删除后又能重新安装。
该机制由联想服务引擎(Lenovo Service Engine)触发,该引擎会自动下载一键优化(OneKey Optimizer)。根据联想的描述,这个一键优化程序“能够升级固件、驱动和预装程序以提升计算机性能,还能扫描垃圾问题,发现影响系统性能的问题。”
OneKey Optimizer 还会“向联想服务器发送系统数据,帮助我们了解用户如何使用我们的产品”,联想声称不会收集个人身份信息。但问题是,用户毫不知情,
如果用户安装的是 Windows 7 或 8 系统,联想笔记本的 BIOS 会自动检查‘C:/Windows/system32/autochk.exe’是微软文件还是联想签名文件,然后用自己的文件覆盖该文件。
被替换的 autochk 文件会在重启后运行,并生成两个新文件 LenovoUpdate.exe 和 LenovoCheck.exe,这两个文件会生成一项新服务并在用户联网的时候下载文件。
联想已经悄悄地修改了部分问题,但没有声张。
在 7 月 31 日的安全公告里,联想模糊地提到发现了联想服务引擎上的一个漏洞,该漏洞可能会让攻击者利用该机制通过恶意服务器安装软件。
联想在 2015 年 4 月至 5 月之间发布补丁彻底去掉该功能。但是,用户没有自动收到该补丁,而且需要手动操作禁用该功能。
让我们感到意外的是,联想使用的这个机制实际上是一项得到微软认可的技术,称为“Windows Platform Binary Table”。该技术在 2011 年推出,今年 7 月第一次得到更新。
该文档到今天为止只在网上被提到过两次,其中一次是联想软件工程师在解决笔记本 ACPI 表格问题时发帖求助。
Windows Platform Binary Table 允许计算机制造商利用 BIOS 向系统推送软件并安装,这意味着无论用户是否全新安装了系统,该问题会一直存在。
在联想利用该技术安装自家程序的做法被曝光之后,微软官方的 Windows Platform Binary Table 描述文档被修改,称该技术是为了让像“反盗窃软件”之类的“重要软件”在系统重装之后仍然安装在电脑里,但是联想等计算机制造商很显然对此有不同的解读。
计算机制造商应该确保,在发现攻击之后,该机制可以升级,而且用户可以删除。但是该文档提出的规则相当不严谨,也不要求设备生产商通知告知该机制的存在。
前面所说的两名用户皆不知在用 DVD 重装系统之后联想软件是如何被安装到电脑里的。
受此次问题影响的机型有:Flex 2 Pro-15/Edge 15 (Broadwell/Haswell models)、Flex 3-1470/1570/1120、G40-80/G50-80/G50-80 Touch/V3000、S21e、S41-70/U40-70、S435/M40-35、Yoga 3 14、Yoga 3 11、Y40-80、Z41-70/Z51-70 和 Z70-80 / G70-80。
这次曝光让笔者感到有点不安:现在你很难能用上真正干净、未被修改的 Windows 系统,计算机制造商会在用户不知情的情况下偷偷安装软件。
除联想之外,其他计算机制造商也有可能在不通知用户的情况下使用该技术。
好消息是,联想已经发布修复该问题的 BIOS 补丁,你可以从联想官网下载。坏消息是,你要自己动手。
正文到此结束
热门推荐
相关文章
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
