TNW中文站 8月13日报道
有国外联想用户发现,联想使用了Windows的一个鲜为人知的功能安装联想的软件和更新,即使重装系统之后,该问题仍然存在。
这一异常现象首先被Art Techinca论坛用户ge814发现,并得到了Hacker News用户chuckup的证实。
这两名用户在5月份发现,他们的新联想电脑会在每次重启的时候悄悄地自动替换一个系统文件,被替换的系统文件会下载联想更新程序,然后自动安装软件,即使从DVD重新安装系统都无法解决这个问题。
联想这一做法的问题是,联想未能事先告知用户,即使全新安装系统都无法解决这个问题。事实上,联想利用了rootkit保证其软件在删除后又能重新安装。
该机制由联想服务引擎(Lenovo Service Engine)触发,该引擎会自动下载一键优化(OneKey Optimizer)。根据联想的描述,这个一键优化程序“能够升级固件、驱动和预装程序以提升计算机性能,还能扫描垃圾问题,发现影响系统性能的问题。”
OneKey Optimizer还会“向联想服务器发送系统数据,帮助我们了解用户如何使用我们的产品”,联想声称不会收集个人身份信息。但问题是,用户毫不知情,
如果用户安装的是Windows 7或8系统,联想笔记本的BIOS会自动检查‘C:\Windows\system32\autochk.exe’是微软文件还是联想签名文件,然后用自己的文件覆盖该文件。
被替换的autochk文件会在重启后运行,并生成两个新文件LenovoUpdate.exe和LenovoCheck.exe,这两个文件会生成一项新服务并在用户联网的时候下载文件。
联想已经悄悄地修改了部分问题,但没有声张。
在7月31日的安全公告里,联想模糊地提到发现了联想服务引擎上的一个漏洞,该漏洞可能会让攻击者利用该机制通过恶意服务器安装软件。
联想在2015年4月至5月之间发布补丁彻底去掉该功能。但是,用户没有自动收到该补丁,而且需要手动操作禁用该功能。
让我们感到意外的是,联想使用的这个机制实际上是一项得到微软认可的技术,称为“Windows Platform Binary Table”。该技术在2011年推出,今年7月第一次得到更新。
该文档到今天为止只在网上被提到过两次,其中一次是联想软件工程师在解决笔记本ACPI表格问题时发帖求助。
Windows Platform Binary Table允许计算机制造商利用BIOS向系统推送软件并安装,这意味着无论用户是否全新安装了系统,该问题会一直存在。
在联想利用该技术安装自家程序的做法被曝光之后,微软官方的Windows Platform Binary Table描述文档被修改,称该技术是为了让像“反盗窃软件”之类的“重要软件”在系统重装之后仍然安装在电脑里,但是联想等计算机制造商很显然对此有不同的解读。
计算机制造商应该确保,在发现攻击之后,该机制可以升级,而且用户可以删除。但是该文档提出的规则相当不严谨,也不要求设备生产商通知告知该机制的存在。
前面所说的两名用户皆不知在用DVD重装系统之后联想软件是如何被安装到电脑里的。
受此次问题影响的机型有:Flex 2 Pro-15/Edge 15 (Broadwell/Haswell models)、Flex 3-1470/1570/1120、G40-80/G50-80/G50-80 Touch/V3000、S21e、S41-70/U40-70、S435/M40-35、Yoga 3 14、Yoga 3 11、Y40-80、Z41-70/Z51-70和Z70-80 / G70-80。
这次曝光让笔者感到有点不安:现在你很难能用上真正干净、未被修改的Windows系统,计算机制造商会在用户不知情的情况下偷偷安装软件。
除联想之外,其他计算机制造商也有可能在不通知用户的情况下使用该技术。
好消息是,联想已经发布修复该问题的BIOS补丁,你可以从联想官网下载。坏消息是,你要自己动手。(翼飞)