36

Masz laptopa Lenovo? Ponownie znaleziono podejrzane oprogramowanie

W lutym pisaliśmy dla Was o bardzo podejrzanym oprogramowaniu w laptopach Lenovo, a że historia lubi się powtarzać, mamy do czynienia z kolejną, bardzo podobną sytuacją w urządzeniach tego producenta. Odkryto bowiem oprogramowanie, które może wyciągać dane użytkowników, co oczywiście nie jest dobrą praktyką ze strony Lenovo. O co chodzi tym razem? Użytkownicy forum Ars Technica odkryli, że program o nazwie „Lenovo Search Engine” automatycznie, bez […]

W lutym pisaliśmy dla Was o bardzo podejrzanym oprogramowaniu w laptopach Lenovo, a że historia lubi się powtarzać, mamy do czynienia z kolejną, bardzo podobną sytuacją w urządzeniach tego producenta. Odkryto bowiem oprogramowanie, które może wyciągać dane użytkowników, co oczywiście nie jest dobrą praktyką ze strony Lenovo.

O co chodzi tym razem?

Użytkownicy forum Ars Technica odkryli, że program o nazwie „Lenovo Search Engine” automatycznie, bez wiedzy posiadacza pobiera oraz instaluje coś, co nazywane jest przez producenta narzędziami do optymalizacji. Przeznaczeniem tego oprogramowania ma być dbanie o odpowiednią szybkość sprzętu.

Nie wygląda to groźnie na pierwszy rzut oka. Jednak odkryto, że nawet, gdy komputer zostanie doszczętnie wyczyszczony, BIOS urządzenia sprawdza, czy w systemie znajduje się plik „autochk.exe” i sprawdza ponadto, czy został on podpisany przez Lenovo lub Microsoft. Po tym plik zostaje nadpisany przez ten dostarczony przez producenta urządzenia podczas każdego uruchomienia systemu. Co więcej, Lenovo Search Engine zbiera dane użytkowników i wysyła je na serwery Lenovo, co ma mieć znaczenie dla badań opartych na telemetrii.

Do cholery, ale użytkownik powinien mieć kontrolę nad tym, co ma w urządzeniu

Świetnie zdaję sobie sprawę z tego, że wiele moich danych trafia w ręce producentów oprogramowania oraz sprzętu. Godzę się z tym na każdym kroku – korzystając chociażby z portali społecznościowych. Jednak tak bardzo ukryte instalowanie oprogramowania w laptopach jest wysoce nieetyczne i nawet, jeżeli producent ma najlepsze intencje, może zostać uznane za działanie przeciw użytkownikom. Samo Lenovo raczy wiedzieć, jakie dane są gromadzone i co dzieje się z nimi dalej. Sądząc po tym, co spotkało użytkowników laptopów Lenovo w lutym, można domniemać, że dane telemetryczne zostaną użyte do celów marketingowych.

lenovo-ideapad_story

Jeżeli jesteście posiadaczami laptopa od Lenovo, sprawdźcie tutaj, czy znajduje się on na liście urządzeń, które wyposażono w Lenovo Search Engine. Jeżeli tak jest – sprawdźcie to narzędzie. Lenovo broni się co prawda, że ów program wcale nie ma na celu wykradać żadnych danych, lecz zachować odpowiedni poziom bezpieczeństwa nawet po wykonaniu czystej instalacji.

Nie jestem zaskoczony – raczej zasmucony, że użytkownicy mają słabą kontrolę nad tym, co dzieje się z ich sprzętem. Producenci urządzeń jednak nic sobie z tego nie robią, zresztą od dawna wiadomo, że najdroższa na świecie jest informacja. A to, jak się ją zdobywa… to już temat rzeka.

Grafika: 1, 2

  • user

    Nie wygląda to groźnie na pierwszy rzut oka. Jednak odkryto, że nawet, gdy komputer zostanie doszczętnie wyczyszczony, BIOS urządzenia sprawdza, czy w systemie znajduje się plik „autochk.exe” i sprawdza ponadto, czy został on podpisany przez Lenovo lub Microsoft.

    Powszechne szpiegowanie Microsoft Windows 10, do tego każdy musi się przyzwyczaić

  • garrappachc

    Co jeżeli zainstaluję Linuksa na partycji ext4?

    • Nic – sam widzisz, jaki plik jest poszukiwany przez BIOS. ;)

    • BIOS? a aby nie przez sam windows, który wczytuje stosowny kod z flash-a gdzie jest BIOS/UEFI i go wykonuje?

    • Me

      Nie.

      System sam z siebie nie wywoła operacji.

    • o czym ty mówisz? jakiej operacji?
      czytałem i wygląda, że mowa jest właśnie o mechanizmie wprowadzonym przez sam microsoft WPBT (wspomina o tym kolega wyżej) BIOS/UEFI nic w tym wypadku nie wywołuje (raczej jest wywoływane – jak już) i musi to zrobić system operacyjny

    • mazdac

      Nic, linux nie wspiera Windows Platform Binary Table, po za tym kod tam umieszczony jest raczej Windows-only :)

    • Sprawdź czy nie zabiorą ci gwarancji

  • Piotr Negatyw

    to jaki komputer mam kupić zeby nie byc szpiegowany?

    • Bez dostępu do Internetu. ;)

    • najlepiej jakis ładny, żebyś nie musiał go włączać, a jedynie nacieszał sie jego widokiem

    • MacBook?

    • ja

      ale nie pro- te to są brzydactwa:) tylko ten nowy i air:)

    • Michal Kubiak

      LOL

    • MDW

      Atari 65XE, ZX Spectrum, Commodore 64, Amstrad CPC… jest wiele takich. :)

  • Feyd

    A czy ktokolwiek spodziewał sie wzrostu lub utrzymania jakości IBM po przejęciu przez Lenovo? Od dawna należy omijać produkty tej firmy.

    • MDW

      Ja kupiłem kilka lat temu żonie laptop Lenovo kierując się m.in. właśnie tym, że to „post-IBM”. To był koszmarny błąd. Straszna tandeta przepełniona azjatycką filozofią. Wstyd mi, że wybrałem coś takiego. :)

  • mazdac

    proponuję doczytać w innych źródłach:
    http://www.dobreprogramy.pl/Rootkit-w-laptopach-Lenovo-modyfikowal-Windows-po-swojemu-w-zgodzie-z-wytycznymi-Microsoftu,News,65550.html
    sam bios nic nie może, system sobie zaciąga kod umieszczony przez lenovo w opdowiednim miejscu i dopiero następuje podmiana.
    Błędy merytoryczne:
    Lenovo Search Engine -> Lenovo Service Engine
    bios modyfikuje pliki -> system wykonuje kod producenta umieszczony w bios modyfikując następnie system

    Ponadto firma udostępniła już narzędzie do usunięcia takiego zachowania.

    • Feyd

      Szkoda, że to kolejna wtopa. Czyli firma nie robi sobie nic z prywatności. W piłce po żółtej jest czerwona.

    • mazdac

      w tym przypadku trudno mówić o naruszeniu prywatności, co najwyżej o nieadekwatności środków (ciekawe jaka byłaby reakcja jeśli ten sam mechanizm robiłby coś pożytecznego – np. otwierał stronę z wyszukanymi sterownikami na stronie producenta po nr. modelu komputera).
      Po za tym mechanizm jest udokumentowany i zgodny z zaleceniami producenta systemu.
      Odnoszę wrażenie, że cała piana jest bita dlatego, że wydawało się użytkownikom, że są właścicielami oprogramowania na ich komputerze. Otóż nie, jesteście tylko użytkownikami.

    • RA

      „Odnoszę wrażenie, że cała piana jest bita dlatego, że wydawało się użytkownikom, że są właścicielami oprogramowania na ich komputerze”

      Dobre, kupić produkt i nie być jego właścicielem :(

    • mazdac

      kupujesz komputer (fizyczny), ale na oprogramowanie jedynie licencję użytkowania.

    • Feyd

      A czy lenovo pyta mnie o akceptacje? Nie, wiec łamie moje prawa do prywatności.

    • mazdac

      Tutaj masz licencję, pewnie jak kupiłeś też gdzieś tam w papierach była:
      https://download.lenovo.com/ibmdl/pub/pc/pccbbs/thinkcentre_pdf/l505-0009-05-plk.pdf

    • Feyd

      „Lenovo udziela licencji na Oprogramowanie Użytkownikowi wyłącznie pod warunkiem, że Użytkownik
      zaakceptuje niniejszą Umowę.Użytkownik wyraża zgodę na warunki niniejszej Umowy klikając stosowną
      opcję lub pole wyboru bądź instalując, pobierając lub użytkując Oprogramowanie.”

      Gdzie akceptuje licencje skoro się to samo instaluje poprzez exploit z biosu?

    • mazdac

      prawdopodobnie akceptujesz włączając komputer: „użytkując Oprogramowanie” – użytkowanie bios także podlega licencjonowaniu, a kod wpbt jest częścią biosu. Ale pytanie jest ciekawe i powinien wypowiedzieć się jakiś prawnik – jasnym jest, że zaakceptowaliśmy licencję biosu itd. poprzez użytkowanie czyli włączenie komputera, pytanie jest czy z automatu akceptujemy każdą kolejną licencję na każde inne oprogramowanie instalowane przez użytkowane przez nas oprogramowanie?

    • Feyd

      Oczywiście gdyby tylko to były sterowniki, ale tu idą setki parametrów zupełnie zbędnych np. lokalizacja. Takie rootkity są nie dopuszczalne i łamiące prawo do prywatności. Czymś inym jest powiadomienie o aktualizacji, a czym innym robienie cudów z chińskiego serwera na laptopie użytkownika.

      Takim badziewnym i chamskim pod względem rootkitów producentom mówimy NIE. Najlepszą obroną jest nie kupowanie sprzętu tej firmy.

    • mazdac

      Dlatego udostępnianie takich danych powinno być w jakiś sposób prawnie uregulowane (chociaż bez inżynierii wstecznej nie da się nic udowodnić) albo chociaż informacja czarno na białym, nie zdziwiłbym się jakby gdzieś w instrukcji był zapis, że system może zbierać takie informacje. Inne rozwiązanie to udostępnione źródła (ale tu też potrzeba wiedzy aby przeanalizować) albo zastosowanie jakieś otwartego projektu jak np. coreboot. Nie mam na chwilę obecną innych pomysłów.

  • MDW

    Akcje Lenovo trochę spadły po ogłoszeniu tego newsa. Chociaż nie był to jakiś straszny spadek. No ale w moich oczach są warte zero i drugi raz nie popełnię błędu polecając komuś laptop Lenovo. :)

  • userx

    zawsze zostaje wywalić W$ i zainstalować Linux-a jeśli nie jest Wam potrzebne środowisko W$ zawsze możecie skorzystać z RHEL ,SLED lub OpenSource do wybory i koloru rozwiazań bez liku