Lenovo, software persistenti installati sfruttando una funzionalità di Windows

Lenovo, software persistenti installati sfruttando una funzionalità di Windows

Sfruttando una funzionalità in origine pensata per i sistemi anti-theft, Lenovo ha installato programmi di dubbia utilità e di impossibile rimozione sui suoi sistemi desktop e notebook da ottobre 2014 ad aprile 2015

di pubblicata il , alle 10:31 nel canale Sicurezza
Lenovo
 

I sistemi operativi Windows 8 e Windows 10 incorporano una funzionalità che consente ai produttori di PC di integrare un eseguibile di Windows all'interno del firmware di sistema. Questo eseguibile potrà essere estratto durante il boot e avviato, permettendo così al produttore di installare un proprio software anche nel momento in cui un computer viene "piallato" e viene eseguita una installazione ex-novo.

Se la maggior parte degli OEM non sembra fare uso di questa funzionalità, Ars Technica ha recentemente scoperto che Lenovo l'ha invece sfruttata tra ottobre 2014 e aprile 2015 per installare un software in alcuni dei suoi sistemi desktop e notebook. Si tratta del software Lenovo Service Engine, che compie attività differenti a seconda che sia installato su un sistema desktop o su un notebook.

Nel primo caso il software raccoglie solamente alcune informazioni di base (il modello di PC, la regione geografica, la data e l'ID di sistema) e le invia ai server Lenovo solo al momento della prima connessione del sistema ad Internet. Le informazioni raccolte non dovrebbero consentire alcun tipo di identificazione dell'utente, anche se l'ID di sistema è un codice unico per ciascun dispositivo.

Quando LSE è installato su un notebook, provvede ad installare un'altra applicazione chiamata OneKey Optimizer. Si tratta di un software che pur occupandosi di alcune attività utili, come ad esempio l'aggiornamento dei driver, svolge anche altre funzioni la cui utilità è invece dubbia, come "ottimizzazione" del sistema e "pulizia" di file.

Il problema, però, è che LSE e/o OKO non sono software affidabili, avendo mostrato una serie di problemi (tra cui buffer overflow e connessioni di rete non sicure) che sono stati resi noti a Lenovo e a Microsoft negli scorsi mesi dal ricercatore di sicurezza Roel Schouwenberg. A seguito delle notifiche ricevute da Schouweberg, Lenovo ha deciso di non includere più LSE nei nuovi sistemi (i prodotti in commercio da giugno non dovrebbero più presentare il software) e ha rilasciato un aggiornamento firmware sia per notebook, sia per desktop.

Legato ad LSE, però, è stato scoperto un problema ancor più fastidioso e che riguarda inaspettatamente il sistema operativo Windows 7. In questo caso LSE pare andare a sostituire un file di sistema di Windows, autochk.exe, che esegue un controllo del disco all'avvio. Il finto autochk.exe crea servizi di sistema che riportano file su una connessione HTTP non cifrata.

Le indicazioni di Lenovo parlano della possibile sovrascrittura di file di sistema, ma non è chiaro come ciò possa avvenire su Windows 7 dal momento che la capacità di avviare eseguibili stoccati nel firmware è una caratteristica inserita solo da Windows 8 in poi e non è nemmeno chiaro per quale motivo debba sovrascrivere un file di sistema.

Lo scopo principale della funzionalità di avvio di eseguibili dal firmware è pensata principalmente per poter installare in maniera automatica le soluzioni software anti-theft. Questo tipo di software fa una serie di cose che richiedono la connettività, come ad esempio comunicare la propria posizione o consentire il blocco da remoto. Dato che è abbastanza frequente che i portatili si vedano il disco cancellato, la funzionalità è stata pensata per consentire di ristabilire il software anti-theft anche a seguito della cancellazione del disco e poter così segnalare che il sistema è stato rubato.

Non è l'unica tecnica che viene utilizzata nel settore per iniettare nel sistema operativo soluzioni anti-theft: nel caso ad esempio di una delle soluzioni anti-theft più usate, LoJack/Computrace, viene impiegata una porzione di codice BIOS che va a modificare i file di sistema Windows, incluso autochk.exe. E' quindi possibile che anche LSE usi una tecnica simile quando si esegue l'avvio si sistemi operativi meno recenti come Windows 7.

Limitatamente ai sistemi anti-theft si tratta di una funzionalità sensata e utile che lascia a tutti gli effetti al proprietario di un sistema la decisione di determinare un adeguato livello di protezione in caso di furto. LoJack/Computrace, per esempio, è di norma presente in stato "disabilitato" e richiede un intervento dell'utente per poter essere reso operativo. Molto differente è il caso di LSE: non si tratta di un software realmente utile, mostra problemi di sicurezza e, per di più, è abilitato di default.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

74 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
acerbo14 Agosto 2015, 10:45 #1
fantastico, grazie a microsoft il bloatware sarà possibile pure a basso livello
*aLe14 Agosto 2015, 10:51 #2
[I][SIZE="5"]"Brava Lenovo, Braaava!"[/SIZE][/I]
(Da cantare ovviamente sulle note del famoso motivetto della pubblicità.

Non so come mai, ma quando si parla di bloatware e porcate sui PC, Lenovo è sempre in prima linea.

Nalperion che schiantava Windows Update anyone?
Superfish (di cui qui a destra abbiamo una diapositiva) anyone?

Non so davvero più come insultarvi.
[K]iT[o]14 Agosto 2015, 11:11 #3
A questo punto spero di trovare presto una mod che disattivi in modo permanente questo " "Windows Platform Binary Table"", perchè altrimenti l'uso di qualsiasi sistema moderno Windows è da considerarsi inaffidabile.
omerook14 Agosto 2015, 11:35 #4
leonovo vince un formattone alla prima accensione! peccato per tutti quegli utenti che se lo comprano al supermercato e se lo tengono cosi come lo trovano!
mireste14 Agosto 2015, 11:38 #5
Originariamente inviato da: omerook
leonovo vince un formattone alla prima accensione! peccato per tutti quegli utenti che se lo comprano al supermercato e se lo tengono cosi come lo trovano!


Peccato anche che formattare non serve a niente
omerook14 Agosto 2015, 11:48 #6
perche dici questo?
mica ripristino l'immagine nascosta! parto proprio da dvd!
l'unico modo sarebbe quello di lasciare a leonovo una porta aperta per ignetarmi spazzatura nel sistema appena vado online, ma se cosi fosse w10 diventa un sistema da cui tenersi alla larga!
Piedone111314 Agosto 2015, 11:54 #7
Originariamente inviato da: omerook
perche dici questo?
mica ripristino l'immagine nascosta! parto proprio da dvd!
l'unico modo sarebbe quello di lasciare a leonovo una porta aperta per ignetarmi spazzatura nel sistema appena vado online, ma se cosi fosse w10 diventa un sistema da cui tenersi alla larga!


perché l'eseguibile viene caricato da bios direttamente da win al primo avvio (quando tu ancora non hai nemmeno accesso al sistema)
omerook14 Agosto 2015, 11:57 #8
si ho appena letto!
non so se è peggio leonovo o w10.
per ora penso piu leonovo che usa un servizio di sicurezza per installare spazzatura! vedremo
Italia 114 Agosto 2015, 12:01 #9
Ma non ci sarebbe possibilità per esempio di escluderlo dai programmi da caricare ? msconfig ecc.. per esempio
omerook14 Agosto 2015, 12:06 #10
forse si puo bloccare il servizio in uscita con un firewall.
sa sarebbero comunque tutte risorse sprecate.
si fa prima ad evitare lenovo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^