在现实生活中,天灾人祸的发生往往出乎意料且难以防范,而在数字化的虚拟空间中,同样存在着诸多潜藏的安全风险与陷阱。近期,联想公司再次成为了舆论关注的焦点,这已是该企业因软件预装及自动更新问题而遭受质疑的又一次事件。
据Ars Technica论坛上用户的反映,联想品牌的笔记本电脑存在一个令人费解的特性:它们能够自动下载并安装联想系统工具软件,即便在重新安装操作系统之后,这一行为依然会发生。
具体情况是这样的,联想的笔记本电脑在每次启动时,都会写入一份系统文件,并自动下载联想官方提供的更新文件,然后执行安装操作。之所以能够实现这一功能,是因为联想在BIOS设置中启用了“Lenovo Service Engine”这一功能选项,而下载安装的软件名为“OneKey Optimizer”。根据官方的描述,这是一款旨在优化电脑性能的系统工具:
OneKey Optimizer是联想公司专门为联想电脑开发的一款高效能系统优化软件,它能够对电脑进行全面检测,提升运行效率,及时更新最新的固件、驱动程序以及应用程序,同时提供科学的电源管理方案,有效延长电池的使用寿命。
联想公司实现这一功能的方法,是利用了微软在Windows操作系统中所允许的一项机制,该机制被称为“Windows Platform Binary Table”,简称WPBT。OEM厂商可以通过BIOS向系统推送和安装软件,这意味着,除非用户自行刷写BIOS,否则OEM预装的软件将一直存在于用户的电脑中。这一机制的初衷是为了确保一些关键软件在重装系统后依然能够留存,例如防盗软件。
然而,联想公司的做法显然超出了单纯防盗的范畴。问题的关键在于,这种自动更新和自动安装的机制可能隐藏着安全风险。攻击者有可能伪装成联想的更新服务,在用户重启电脑的过程中安装任何恶意软件。
进一步的分析显示,BIOS在启动过程中会检查C:\Windows\system32\autochk.exe是否为联想的版本或微软的原始版本。如果检测到的是微软的版本,BIOS会将其移动至C:\Windows\system32\0409\zz_sec\autobin.exe,并替换为联想的autochk.exe。在启动期间,autochk.exe会向system32文件夹写入LenovoUpdate.exe和LenovoCheck.exe。一旦联网,它会设置一个服务来运行其中一个程序,并访问http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.json这个网址。由于该网址未使用加密,攻击者可以拦截流量并远程执行代码。
早在六月份,就有知乎用户反映过这一问题,但并未引起广泛的关注。而联想公司上一次遭遇信任危机,则是因为预装的Superfish广告软件。
目前,联想公司在英文官网发布了BIOS补丁以修复这一问题,但中文官网尚未更新。受影响的机型包括:
Flex 2 Pro-15/Edge 15 (Broadwell)
Flex 2 Pro-15/Edge 15 (Haswell)
Flex 3-1470/1570
Flex 3-1120
G40-80/G50-80/G50-80 Touch/V3000
S21e
S41-70/U41-70
S435/M40-35
Yoga3 14
Z70-80 / G70-80
Yoga 3 11
Y40-80
Z41-70/Z51-70
更新:已对文章内容进行适当删减