11.08.2015 | 22:28

Adam Haertle

Tylna furtka w laptopach Lenovo, tym razem w UEFI

Niektórzy producenci sprzętu komputerowego starają się na siłę uszczęśliwić użytkownika lub zarobić na nim dodatkowe kilka groszy. Na szczęście użytkownicy szybko odkrywają podstępy producentów i je nagłaśniają.

Lenovo nie przestaje nas zaskakiwać. Po oprogramowaniu podsłuchującym połączenia użytkownika i funkcjach keyloggera tym razem użytkownicy odkryli, że w oprogramowaniu wbudowanym UEFI znajduje się funkcja wpływająca na działanie systemu operacyjnego.

Użytkownicy modeli takich jak  G50-80 czy Y40-80 zauważyli, że pomimo wymiany dysku twardego, instalacji systemu  Windows z oryginalnych obrazów Microsoftu i odłączenia komputera od internetu ciągle widzą okienko z pytaniem od Lenovo. Ich komputery uparcie zadawały pytanie o treści:

Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA

Okienko stanowi zachętę do zainstalowania oprogramowania Lenovo optymalizującego działanie systemu operacyjnego OneKey Optimizer (możecie z góry określić jego przydatność i skuteczność). Biorąc pod uwagę warunki testowe (czysty dysk, system operacyjny, brak internetu) jego pojawienie się musiało wiązać się z konkretnym działaniem programu zapisanego we wbudowanej pamięci startowej komputera – UEFI.

Lenovo Y40

Lenovo Y40

Jeden z użytkowników przeanalizował skąd bierze się komunikat. Okazuje się, że w oparciu o instrukcje zapisane w UEFI komputer Lenovo sprawdza, czy program  C:\Windows\system32\autochk.exe to oryginalny plik Microsoftu. Jeśli tak, to oryginał przenosi do C:\Windows\system32\0409\zz_sec\autobin.exe i podmienia go na plik autorstwa Lenovo. Z kolei podmieniony program instaluje pliki LenovoUpdate.exe oraz LenovoCheck.exe. Jedyna metoda usunięcia kontrowersyjnego kodu to wyciągnięcie oprogramowania układu pamięci, jego ręczna edycja za pomocą narzędzia UEFITool  i ponowne zapisanie.

Lenovo, ile jeszcze?

Powrót

Komentarze

  • 2015.08.11 22:38 desf

    Na tabletach z atomem też to wciskają? Bo tak się zastanawiam nad zakupem.

    Odpowiedz
  • 2015.08.11 23:13 yhm

    Nie żeby tylko Lenovo było złe, wielu producentów sprzętu zostało przyłapanych na nikczemnych praktykach. Jednak oni robią to z premedytacją i nie słuchają jęku niezadowolenia klientów w tej sprawie. Sam miałem kupić jakiś sprzęt tej filmy (dobra jakość za rozsądną cenę), ale po tych wpadkach przez kilka lat raczej już nie kupię.

    Odpowiedz
    • 2015.08.12 07:05 jaca

      co do jakosci lenovo o jest dyskusyjne , to jednak nie stare ibm jakie bylo kiedys. kolejna sprawa okres gwarancji jaki oferuja jedynie 12 miesiecy chcesz dluzej trzeba doplacic. obudowy w niskim segmencie i srednim sa na prawde zalosce – tani swiecacy plastik.

      Odpowiedz
      • 2015.08.12 11:23 autor

        „okres gwarancji jaki oferuja jedynie 12 miesiecy ”

        Okres gwarancji wynosi 24 miesiące jeżeli kupujesz jako osoba prywatna.

        Odpowiedz
        • 2015.08.12 12:52 MMs

          Okres gwarancji jest ustalany przez producenta. Producent może nie dać na laptopa gwarancji wcale, może dać 3 dni, rok dwa, lub dwadzieścia dwa (jego wola).
          Niezgodność towaru z umową dla konsumentów trwa 2 lata, dla firm 1 rok, dlatego nie warto powoływać się na gwarancję, gdyż na tym tracimy. NIGDY NIE DAWAJ SPRZEDAWCY KARTY GWARANCYJNEJ, powołaj się na niezgodność towaru z umową.

          Odpowiedz
          • 2018.08.20 07:02 Ja

            Gwarancje wg norm europejskich daje sklep 2 lata i tyle. Po poltora roku zanosisz do sklepu oni przyjmuja i cie nie obchodzi jak to załatwia tylko nie daj sie wkrecic w door to door bo wtedy slep umywa rece

  • 2015.08.11 23:35 Piotr

    A już najbardziej wkurzającą praktyką tej firmy (i nie tylko tej) są zakodowane w biosie white listy sprzętu (np. kart sieciowych), uniemożliwiające wymianą karty np. na kompatybilną z linuxem.

    Odpowiedz
    • 2015.08.12 13:45 maslan

      Nie wiem jak teraz, ale pamiętam w Toshibie jak było trzeba wymienić napęd DVD – zwykły kosztował parędziesiąt złotych a toshiby ponad 200, ale w BIOS była blokada i tylko widział toshiby DVD…

      Odpowiedz
    • 2015.08.13 13:34 Krzysiek

      hp ma podobnie

      Odpowiedz
  • 2015.08.11 23:58 Maciej

    Mam Lenovo – co robić, jak żyć?

    Teraz serio: mam y510p, kupiony bez systemu. Teraz śmiga sobie Win7x64Pro, klucz z uczelni, instalowany z prawilnej płytki OEM.
    Nie zauważyłem działań w artykule, zarówno jeśli chodzi o autochk.exe jak i o wpbin.exe.
    Faktem jest, że wprowadziłem już na nim tyle fixów, łat i zmian, że to mogło zniweczyć zamysł twórców firmware’u (moje czasem niweczy).
    Pewnie znowu popadnę w paranoje, więc jak wyciągne binarke z kości bios to dam znać czy coś tam siedzi :P

    Odpowiedz
    • 2015.08.12 09:03 gron

      No to masz lewy system, bo w licencji DreamSparka jest zapis, że te Windowsy możesz instalować tylko ma wirtualkach lub komputerach, na które masz zakupioną licencję na innego Windowsa. Jeśli laptop był bez systemu, to piracisz ;)

      Odpowiedz
      • 2015.08.12 12:30 Kacper

        Prócz DreamSpark’a jest jeszcze MSDNAA a w nim zapis, że system jest legalny do momentu reinstalacji go przez Ciebie po skończeniu edukacji, czyli jeśli nie reinstalujesz to możesz i 30 lat mieć legalny ;p

        Odpowiedz
      • 2015.08.12 13:46 maslan

        dokładnie jest MSDNAA

        Odpowiedz
    • 2015.08.12 21:13 Maciej

      Licencja jeszcze z MSDNAA, więc spokojnie panowie ;)

      Odpowiedz
  • 2015.08.12 06:38 Adam

    „Jedyna metoda usunięcia kontrowersyjnego kodu to wyciągnięcie oprogramowania układu pamięci, jego ręczna edycja za pomocą narzędzia UEFITool i ponowne zapisanie”

    Czyli BIOS update bez lutowania nic nie daje? Ale czemu? Dlatego, że jest on przechwycony, czy poza zakresem, czy jak?

    Odpowiedz
    • 2015.08.12 09:05 gron

      „wyciągnięcie **oprogramowania** układu pamięci”, więc chyba zwykły flash wystarczy.

      Odpowiedz
      • 2015.08.12 12:20 Adam

        A no chyba, że o takie wyciąganie chodzi. :)
        Czyli to jeszcze nie era, że trzeba lutownicą wszystko poprawiać.

        Odpowiedz
    • 2015.08.12 11:30 kazimierz

      myślę, ze jest niepoprawnie użyte kolokwialne słowo „wyciągnąć” zamiast „zgrać”. dlatego można odnieść wrażenie, że trzeba wylutować układ.
      jak się nie jest z wykształcenia dziennikarzem czy polonistą albo tekst nie przechodzi redagowania przez korektorów to się zdarzają takie kaczany językowe. trzeba brać to pod uwagę czytając materiały na portalach techniczne. :)

      Odpowiedz
      • 2015.08.13 20:49 Adam

        Tutaj się przyznaję, że przypadkowo nadinterpretowałem tekst po przeczytaniu artu mówiącego o konieczności wylutowania i wyciągnięcia kości pamięci.

        Odpowiedz
    • 2020.08.24 20:24 nusch

      obstawiam, że UEFI zawiera różne podpisy cyfrowe, cześć modułów jest sprawdzana runtime a część w momencie flashowania i te drugie checki możemy zignorowac jeżeli kość zaprogramujemy zewnętrznym programatorem czy wylutowywując kośc czy używajac specjalnego klipsu

      Odpowiedz
  • 2015.08.12 08:07 adrian

    Sam mam T420 i sobie chwalę. Ale jak przyjdzie mi zmienić laptop to wybiorę tym razem della. Lenovo dużo straciło. A szkoda, bo to porządny sprzęt.

    P.S. Panie Adamie, Pańska strona źle działa na mobilnej wersji IE na WP8.1. Są problemy z pisaniem komentarzy. Czasem artykuł też się źle ładuje. Jest jego początek, potem, najczęściej przed wypunktowaniem czegoś, długo nic nie ma i dopiero potem znów jakiś tekst. To stanie męczące jest. Da się coś z tym zrobić? :)

    Odpowiedz
    • 2015.08.12 09:22 Dawid

      Oczywiście, że się da. Można np. zmienić przeglądarkę. Albo OS. Albo ewentualnie pogrzebać coś w kodzie strony. Jak widzisz możliwości jest kilka i nie ograniczają się do działań po stronie z3s ;)

      Odpowiedz
    • 2015.08.12 09:47 marzen

      WP używają tylko 2 osoby, dla nich nie warto robić stron internetowych. Zmień szrot na normalny telefon z androidem i będzie śmigało.

      Odpowiedz
      • 2015.08.12 11:35 kazimierz

        chodzi ci o ten system co to codziennie wykrywaja na nim dziure bezpieczenstwa?

        Odpowiedz
    • 2015.08.12 10:37 Fedek6

      Tak, zmienić przeglądarkę :P

      Odpowiedz
    • 2015.08.12 21:11 joe

      Delle jako jedne z pierwszych miały rozjechane UEFI. I to konkret zabawką, działającą na wszystkie systemy a nie podmieniającym pliki w c:\\windows….
      Poszukaj sobie frazy DEITYBOUNCE.

      Odpowiedz
  • 2015.08.12 09:38 Rozbawiony

    UEFI to backdoor, spyware i wszystko w jednym. Tajemnica Polisznela, ze po to tylko powstal.

    Odpowiedz
    • 2015.08.13 16:08 turrysta

      Celem podstawowym było wykoszenie innych systemów operacyjnych (czytaj: Linuxa) a to, o czym piszesz to bonus.

      Odpowiedz
  • 2015.08.12 10:03 Wojtek

    Rozumiem, że wykorzystanie backdoorów w UEFI do celów szpiegowania etc. jest naganne (a na pewno stosowane).
    Ale niewinne sprawdzenie, czy użytkownik życzy sobie specjalizowanego pod dany sprzęt oprogramowania nie jest niczym nagannym, czy dziwnym! Jest wręcz _naturalne_ i można tego oczekiwać!!!
    Rozumiem nawet przesadzoną dbałość o prywatność (sam przesadzam), ale nie popadajmy w skrajności!
    Czy instalowanie odpowiedniego sterownika do konkretnego urządzenia też uważacie za naganne??? W końcu to jest to samo – system operacyjny, wspomagany przez producenta sprzętu – próbuje znaleźć odpowiednie sterowniki!
    OK – warto wiedzieć, że UEFI to robi – ale z3s powinien jednak nadawać odpowiednią rangę takim zjawiskom. Bo zacznie się robić „niebezpiecznikowo” :)

    Odpowiedz
    • 2015.08.12 13:58 maslan

      A co jeśli ten plik w tej wersji którą podrzuca ci Lenovo zawiera jakiś błąd bezpieczeństwa? W ogóle jak coś bez mojej wiedzy robi producent (a podmiana pliku jak najbardziej pod to podpada) jest chamstwem. Ciekawe czy w licencji coś o tym jest …

      Odpowiedz
    • 2015.08.12 15:18 kszh

      Jeśli podmiana systemowego programu do sprawdzania integralności systemu plików przy starcie systemu jest dla ciebie „niewinnym sprawdzeniem” chęci użyktownika…

      Odpowiedz
      • 2015.08.13 16:44 Wojtek

        @maslan @kszh
        Skąd bierzecie przekonanie, że Lenowo robi coś bez wiedzy użytkownika?
        Przetłumaczcie sobie (dokładnie!) zamieszczony w artykule komunikat od Lenovo. Wyraźnie określa, co będzie robił, a nawet prosi o przeczytanie warunków LLA.
        Problemem artykułu jest to, że odnosi się do sytuacji znanej już od maja (sic!):
        http://www.zdnet.com/article/lenovo-rootkit-ensured-its-software-could-not-be-deleted/#ftag=RSSbaffb68
        ale podaje to jako rzecz nową. UEFI brzmi inaczej niż BIOS :)
        Informacja o komunikacie od Lenovo zafałszowuje obraz – nie dzieje się to przecież w tajemnicy przed użytkownikiem!
        Tych konkretnych Lenovo nie znam – ale czy na pewno nie da się zrezygnować z tego oprogramowania? Przecież wiadomo, że większość (kwantyfikator użyty z ostrożności) oprogramowania dodawanego od producenta można pominąć!
        Powtarzam – czy jeśli producent „podrzuca” do instalacji własne sterowniki urządzeń – to też jest to złe? A tu producent wyraźnie twierdzi (przetłumaczcie sobie dokładnie podany komunikat!) „…aby uczynić system bardziej stabilnym, bezpiecznym i wydajnym, należy pobrać i zainstalować…”. Dokładnie te same przesłanki, co przy sterownikach!
        Nie mówię, że nic się złego nie dzieje – nie każdy rozumie komunikaty, nie każdy potrafi zrezygnować z podrzucanego do instalacji oprogramowania. Apeluję tylko, by nadawać odpowiednią wagę takim informacjom.

        Odpowiedz
  • 2015.08.12 10:30 Makumba

    Jeśli przełączy się oprogramowanie na płycie głównej tych laptopów na tryb zgodności ze starodawnym BIOS-em, to czy ten proces podmieniania plików również zachodzi? Nie zdziwię się, jeśli tak, ale wolę dopytać.
    Windowsy 64-bitowe jak i Linuksy (64 bit czyli amd64) ciągle dobrze działają w trybie Legacy Boot.

    Odpowiedz
  • 2015.08.12 10:31 maurycy

    Ja ma della Vostro 5500 , stary ciężki toporny ale jary.Intel i7 , wpakowane dysk SSD Samsunga , i kompa nie mam zamiaru zmienić na nic innego – mat matryca podświetlana klawiatura , Dell znany tez że instaluje swoje Fabrycznie Shity :D. no ale co zrobić wszyscy mają Back Door`y w swoim sprzętem – jak bym się tym przejmował to bym chyba korzystał jeszcze z Pegasusa :D

    czy mieć na to wy+++++e i tyle…..darknet & Talis & Tor działczy – i wystarczy do tego truescrypt

    Odpowiedz
    • 2015.08.12 12:19 Adam

      „jak bym się tym przejmował to bym chyba korzystał jeszcze z Pegasusa :D”
      Pegazus i niektóre klony miały tak mocny sygnał modulatora, że w pewnych szczególnych przypadkach dało radę złapać zdalnie obraz z niego przez ścianę. Czyli do ochrony prywatności odpada xD

      Odpowiedz
    • 2015.08.12 12:59 Robik

      „…w oparciu o instrukcje zapisane w UEFI komputer Lenovo sprawdza, czy program C:\Windows\system32\autochk.exe to oryginalny plik Microsoftu…” – co za problem sprawdzić czy uruchomiony jest Tails i np.uruchomić keylogera z zapisem na ukryty obszar dysku ? Pomyslałeś o tym…

      Odpowiedz
  • 2015.08.18 12:04 nie

    Fajny sprzęt ale takimi zagrywkami stracił resztę mojego szacunku

    Odpowiedz
  • 2015.08.18 16:46 privatus

    Boicie się chińskich backdorów, a instalujecie windows, który jest jednym wielkim backdorem (szczególnie win 10), szpiegującym na rzecz „amerykanów” (cudzysłów, bo zwykli Amerykanie też są w niewoli banksterów, od 23.12.1913). To banksterzy, którzy wykorzystują m.in. NSA, DEA, CIA itd., są największym zagrożeniem dla świata, w tym dla nas, a nie Chiny. Oczywiście nie oznacza to, że pochwalam szpiegowanie przez kogokolwiek, ale to właśnie banksterzy obecnie najwięcej mają do stracenia, bo mają rzeczywistą władzę nad prawie całym „demokratycznym” i nie tylko światem, więc ich należy się obawiać.

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Tylna furtka w laptopach Lenovo, tym razem w UEFI

Komentarze