Компания Lenovo снова оказалась в центре скандала, связанного с модификацией операционной системы на ноутбуках, которые производит и продаёт эта компания. В прошлый раз выяснилось, что их OEM-операционка включала установленную рекламную программу Superfish, отличившуюся навязчивым поведением и полным пренебрежением к безопасности. На этот раз всё гораздо хуже – пользователя не спасёт даже полная переустановка операционной системы с нуля.
После установки чистой системы Windows перед первым её запуском, специальная программа, хранящаяся в BIOS, заменяет системный файл autochk.exe, служащий для проверки целостности файловой системы и исправления ошибок, на свой загрузчик. Он создаёт системные службы, которые скачивают нужные программы с серверов Lenovo. Так эта система работает с Windows 7. В случае Windows 8 всё происходит ещё проще.
Дело в том, что ОС Windows, начиная с восьмёрки, поддерживает т.н. Windows Platform Binary Table (WPBT) – таблицу, формат которой был разработан компанией в виде расширения таблиц ACPI (Advanced Configuration and Power Interface). Система работает так: в BIOS компьютера может храниться бинарный исполняемый файл. Если система при загрузке находит там этот файл, она копирует его на диск и выполняет.
К сожалению, компания Microsoft с высоты своего положения имеет все возможности для того, чтобы продавить производителей железа на поддержку такой системы – чем она и не преминула воспользоваться. А сделано всё это, разумеется, на благо пользователей. Компания Microsoft, не щадя себя, заботится о безопасности пользователей операционных систем Windows. Поэтому, таким образом она решила организовать помощь в розыске украденных компьютеров.
Допустим, у вас украли ноутбук. Если даже вы поставите на него специальную программу, помогающую отслеживать его, то злоумышленнику ничто не мешает отформатировать его накопитель. Однако если такая программа будет интегрирована в BIOS, то установка чистой системы на компьютер не остановит её выполнение (за исключением случаев, когда вор окажется поклонником Linux).
Всё было бы хорошо, если бы производители и продавцы ноутбуков не стремились заработать любой ценой. Мало того, что установленные по умолчанию системы разбухают от всяческого bloatware (эта недобрая традиция успешно перекинулась и на смартфоны). Так теперь существует способ, при котором от него просто нельзя избавиться.
Итак, в случае установки Windows 8 хранящийся в BIOS файл «wpbbin.exe» копируется в C:\windows\system32 и выполняется. Заканчивается это всё той же установкой фирменных служб от Lenovo, LenovoUpdate.exe и LenovoCheck.exe, скачивающих свои файлы с серверов компании.
Эту замечательную систему компания назвала «Lenovo Service Engine». Она не только отсылает на сервер компании информацию о технических характеристиках вашего компьютера, но и устанавливает софт «OneKey Optimizer» (ОКО), судя по всему, попадающий в категорию «crapware». Согласно заверениям компании, он «очищает систему от ненужных файлов» и «оптимизирует работу компьютера». Чем он на самом деле занимается – пока мало кому известно, но судя по большинству программ, которые прикрываются такими обещаниями, вряд ли это что-то хорошее.
Мало того, что программы непонятного назначения, от которых невозможно избавиться, занимаются подменой системных файлов – они скачивают этот «оптимизатор» ОКО по незащищённому протоколу HTTP. Вряд ли нужно объяснять, чем это чревато (см. «атака MitM»).
Как оказалось, об этой тревожной ситуации специалист по безопасности Роэл Шувенберг (Roel Schouwenberg) сообщил в Lenovo и Microsoft ещё в апреле. Теперь Lenovo утверждает, что все компьютеры, начиная с июня, лишены этой замечательной функции. Также она выпустила патчи и инструкции для того, чтобы отключить эту функцию в тех компьютерах, в которых она присутствует, и списки компьютеров, подверженных этой проблеме (настольные / лэптопы). Интересно, что теперь компания называет функцию, которую сама же и интегрировала, «уязвимостью».
Ответом Microsoft на эти вопросы стало расширение инструкции по использованию WPBT, в которой она объясняет всем производителям софта и железа, что программы, пользующиеся этой возможностью, «должны быть написаны с прицелом на безопасность, иначе их можно будет расценивать, как malware».
К сожалению, в наше время часто, покупая умное электронное устройство, человек не оказывается его полноправным владельцем – он безо всякого предупреждения может оказаться в ситуации, когда его компьютер или смартфон снабжён абсолютно ненужными ему программами, которые в лучшем случае отъедают системные ресурсы, а в худшем – нарушают безопасность работы с данными. Сложно сказать, каким образом можно восстановить справедливость в таких случаях – судебными исками, бойкотами продукции определённых компаний, или другими действиями. Ясно только, что делать это необходимо.
Комментарии (25)
scrutari
13.08.2015 22:48+17Как же я мечтаю о том, чтобы люди активнее реагировали на подобную недобросовестность, просто отказываясь от продукции такого вендора: месяц полного отсутствия продаж, я думаю, вразумил бы даже самых закоренелых любителей bloatware.
Beltoev
14.08.2015 00:22+19Вся соль в том, что до тех, кто покупает их продукцию, такие новости обычно не доходят, а продавцы уверяют, что лучше они за такие деньги не найдут. Хотя, обычный пользователь и без bloatware систему загадит и будет спокойно с баннерами на рабочем столе, да прочей ересью жить
navion
14.08.2015 03:07-12Именно. В ThinkPad такого не будет никогда, иначе последние клиенты перейдут на Dell.
SkidanovAlex
14.08.2015 21:23Ну у меня w540 купленный с их сайта, полный комплект говна предустановлен, в менеджере программ три экрана PgDown софна с Lenovo в названии, полтора часа все это удалял, уверен, что удалил не все.
Ну а на Dell перейду, буду три экрана говна с Dell в названии удалять. Мир так устроен, что купить сегодня можно только говно, и исправить это нельзя.navion
14.08.2015 22:07+1В топике речь про Superfish и Lenovo Service Engine.
А у Dell оно полностью настраивается через конфигуратор дистрибьютора. Обычно на поставляемых в Россию компьютерах предустановлены лишь утилиты для обновления и управления питанием (которые не мусор), иногда триал корпоративного антивируса от Trend Micro.SkidanovAlex
14.08.2015 23:07Я отвечал на ваш комментарий о том, что клиенты перейдут. Мне как клиенту что Superfish что ThinkPad SuperTrackPadOptimizer не нужны. Я хочу чистую Windows, чтобы я купил лэптоп, и начал на нем работать, а не чистить его. И как клиент, я бы ушел к любому поставщику, который бы мне продал хороший лэптоп без говна. В том числе без говна «для обновлений и для управления питанием». И уж точно без триальной версии чего угодно.
Если там только утилита для обновления, то что она обновляет? Саму себя? На лэптопе не должно быть ничего, что не обновляется через Windows Update, а значит утилита для обновления уже сама по себе подразумевает, что там есть что-то еще, что она будет обновлять, чего там быть не должно.
Microsoft, кстати, позволяет теперь вроде купить лэптоп без говна долларов на 50 дороже, чем такой же с говном. Так что может быть свет в конце тоннеля есть.navion
15.08.2015 00:46Если там только утилита для обновления, то что она обновляет? Саму себя?
Драйверы и фирмварь, про саму себя не знаю — она очень редко обновляется.
ApeCoder
20.08.2015 19:37Да, это называется windows signature pc но у нас, кажется, нет. Про производителя Vizio такое говорили тоже
AlexanderG
19.08.2015 20:40Контрпример: после чистой установки винды на один из Fujitsu пришлось еще побегать за их софтом (драйверами, поддержкой батареи и т.п.). Кроме операционки без ведома не было установлено ничего.
maratische
19.08.2015 12:48у DELL тоже самое, не переживайте.
у меня сейчас dell с предустановленной ubuntu и даже там был их софт, снес и поставил убунту с сайта каноникал
immaculate
15.08.2015 11:44Купил год назад Lenovo THinkPad. Про superfish уже знал. А что делать, если выбор остался по существу между Lenovo и Apple. Все остальные ноутбуки продаются либо со слабым экраном, либо с неинтересными процессором и памятью (год назад найти небольшой доступный по цене ноут с поддержкой > 8Гб RAM было огромной проблемой), либо с хилым аккумулятором (у Lenovo два аккумулятора: внешний и внутренний, можно закупить мощный внешний и менять на лету благодаря внутреннему).
В прошлом году я мучился с выбором нового ноутбука несколько месяцев, сравнивая по всем характеристикам, и ничего лучше Lenovo не нашел. На втором месте — MacBook, но я работаю в Linux 20 лет и переучиваться всем привычам заново мне не хочется.
Equin0x
14.08.2015 06:58+2На смену утилитам, которые интегрируют в BIOS SLIC 2.1 придут новые — стирающие WPBT )
Gorthauer87
14.08.2015 10:25Чую, что и для всяких steam os они могут такое нарожать в будущем. Только достаточно будет туда положить какой-нибудь shell скрипт.
JDima
14.08.2015 15:01+4>они скачивают этот «оптимизатор» ОКО по незащищённому протоколу HTTP. Вряд ли нужно объяснять, чем это чревато
А вот тут глупость написана.
HTTP для передачи тех же патчей (небольшое количество сравнительно тяжелых файлов, скачиваемых миллионами) — хорошая идея, так как не отнимает возможность кеширования/акселерации трафика. Но есть важное условие: любой скачиваемый таким образом исполняемый код обязан быть подписан для исключения его модификации. И про это в статье ничего не говорится. Само шифрование не требуется, нет в тех патчах ничего такого, что требуется скрыть от посторонних.
vmchaz
14.08.2015 18:34А ведь в Америке, наверное, вполне можно подать в суд коллективный иск (особенно если ОС не та, которая шла с ноутом, а установлена отдельно). Модификация данных на пользовательских устройствах хранения данных — вполне себе достаточная причина.
navion
14.08.2015 22:27Оно отключается в BIOS, как того требует Microsoft:
The authenticated device owner should have the ability to disable or remove this functionality if desired.
А у HP оно используется даже на корпоративных сериях компьютеров.
gluck59
14.08.2015 23:42Ну вот… Когда я с пару месяцев назад предположил подобное, мне в карму на$рали :(
Верните обратно! :)
kinguru
19.08.2015 21:30В сатье ничего по существу нет, одни предположения. То может, се может. Где факты?
А Windows Update вас не пугает? Тоже что-то ставит постоянно, службы какие-то.
super-guest
Позор и наглёж, чё…
А как у Apple? Есть такое или похожее?
Raegdan
Там даже аппаратно такое сделано может быть, благо железо унитарное. Если даже в блоки питания они чип авторизации ставят (в курсе, наверное, как яблогаджеты ругаются на неродные блоки?), что уж говорить про материнки.
bankinobi
У Apple все дело в делителях напряжения штекера, а не блоках питания.
vvzvlad
Подозреваю, это про Lightning. Там действительно есть контроллер.