联想(Lenovo)出品的电脑最近在国外论坛中被发现,其部分的机种就算系统重新安装,也会自动重新下载并安装预设工具软件,让使用者难以移除,且进一步发现,这个自动重新安装的工具可是深埋在固件中,一般使用者根本无法阻挡,只能任由系统给厂商塞入不想要的软件。
防盗机制挪做他用
微软这几年推出的 Windows 8 与 Windows 10 的系统中新添加了 Windows Platform Binary Table 这个新功能,让电脑在开机时可透过安插在固件中的程式,对电脑进行检测传送资料,如果使用者的电脑被窃,可以透过这功能来回传资料,增加找回电脑的机会。
Windows Platform Binary Table 此功能预设并不是开启,显然联想对这功能有着不同的运用方式,在预设开启并透过固件中安插的程式,就可自动检测并安装联想自行开发的工具软件“OneKey Optimizer”。
据联想表示,透过“Lenovo Service Engine”功能自动载入的“OneKey Optimizer”主要用途是做为最佳化电脑系统,侦测电脑中可能的软件小问题并加以排解调整,并可自动侦测安装新版的固件、驱动程式及进行电源管理。联想也可对产品做软件修正,比如说释出新的驱动程式等,减少系统漏洞等。
或许真的没有恶意,虽然安装各预设软件早就成为常态,但强制安装且无法移除可就是另一回事了。因为过多的预载软件除了使用者用不上、占用系统空间外,有些还预设成伴随着开机启动,造成系统负担拖慢速度,也难怪许多玩家拿到电脑总是想法子反安装这些软件,甚至自行重新安装 Windows,以求获得最“纯净”的使用系统。
事情在有点闹大后,联想也释出了相关的修正升级软件,以搏取消费者信任,毕竟联想曾闹出系统预载了 Superfish 广告软件的风波,另一方面可能也是怕沾上相关诉讼官司,先前中国便发生了使用者因三星智能手机无法移除占用空间的预装软件而一状告上法庭,迫使三星在 2015 年八月后就提供相关软件,供使用者可自行移除预载的软件。
自动升级隐含资安危机
自动重新安装功能除了让使用者少了选择要不要的机会外,另外一个问题就是这功能让骇客有了入侵的机会,联想在固件在开机启动过程中是透过检查“C:\Windows\system32\autochk.exe”来侦测目前系统是联想预设的 Windows 版本还是微软的原始版本。
如果不是内含联想系统的版本,就会自动改写 autochk 这个档案,并在 system32 资料夹中塞入 LenovoUpdate.exe、LenovoCheck.exe 这两个档案,再透过他们连上联想的网站来下载并安装软件。不过问题就出在联想提供下载的“http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.json”网址并未提供任何网络加密,让骇客有机会拦截并改写程式码来入侵电脑,原本用来修补程式的管道反成了入侵的漏洞。
- Lenovo used Windows anti-theft feature to install persistent crapware
- Lenovo’s Superfish screwup highlights biggest problem in software
(首图图片来源:Flickr/Cory M. Grenier CC by 2.0)
