セキュリティ

Lenovo 製PCにコッソリ仕込まれる消えないソフトウェア

2015年8月14日

レノボ製のPCにはスパイウェアが工場出荷状態から仕込まれていることが以前話題になっていた(レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴(GIZMODO))が、BIOSにWindowsのシステムファイルを書き換える仕掛けがあることが発見された。

Lenovo used a hidden Windows feature to ensure its software could not be deleted

以下翻訳引用


この仕掛けは BIOS内に仕込まれている Lenovo Service Engine が勝手に OneKey Optimizer というプログラムをダウンロードし、OSに組み込んでしまう。レノボによれば、このプログラムはファームウェアやドライバのアップデートを自動で行うことでパフォーマンスを向上させ、ジャンクファイルやパフォーマンスの低下に影響を与える要因をスキャンしてくれる機能とのことだ。
しかし、”我々の製品がどのように使われているか調べ、レノボサーバへ送信する”とも書かれている。レノボは”個人を特定できる情報を収集していない”と言っているが、問題は一ユーザには除去するのが極めて難しいのと、同意もなしに勝手にユーザの情報が送信されていることだ。
Windows 7 か 8 がインストールされたとき、BIOSが ”C:\Windows\system32\autochk.exe” をレノボのものか判定し、書き換えてしまうのだ。その後、書き換えられた autochk.exe がブート時に LenovoUpdate.exe と LenovoCheck.exe を生成。これらのサービスがネットを通じてファイルをダウンロードする。
7月末に攻撃者がサーバを利用することで Lenovo Service Engine を通じて任意のプログラムをインストールできてしまうという脆弱性があることを認め、この機能を除去するパッチを提供したようだが、自動更新はなされていないようだ。
実はこの Windows のシステムファイルを書き換えるメカニズムは Windows Platform Binary Table というマイクロソフトに認められているテクニックである。
このテクニックに言及したオンラインテキストは二件しか見受けられなかった。一つはレノボのエンジニアがACPIテーブルについて助けを求めているものだ。

引用終了

Windows をクリーンインストールしようが何しようがブート時にこのプログラムが仕込まれてしまうらしい。

BIOS も進化してきて UEFI が主流になっているけど、こういうことが出来ちゃうんだなぁ。まあ OS が起動する前にネットワーク接続や遠隔管理とか出来ちゃうのが UEFI の売りだったからね。

この UEFI 自体、 Microsoft が開発に深く関わっている。策定段階の UEFI なんかはセキュリティの関係上、MS の署名入りプログラムのみの起動を許すように設計されてた。この影響で Linux が締めだされそうになるという騒動もあった。

MS と攣るんでる肝心のPCメーカーがこのザマである。今回は中国のメーカーであるということで例外かもしれないけど、米国の NSA だって信用ならない。システムファイルをPCメーカーだろうと簡単に改変することを認めるというのもなんだかなぁと思う。

コメントを残す

Theme by Anders Norén