Alfonso Maruccia

Lenovo scivola sul rootkit

La corporation cinese colta di nuovo a installare software indesiderato: questa volta agisce a livello di firmware, resistente a qualsiasi tentativo di formattazione e reinstallazione di Windows. Lenovo ha già ribattuto

Roma - Dopo lo scandalo, le polemiche e i danni di immagine scaturiti dalla preinstallazione di SuperFish, Lenovo non sembra avere perso il vizio di installare software indesiderato, classificabile come bloatware all'interno dei suoi PC sia desktop che laptop.

Il colpevole, questa volta, si chiama "Lenovo Service Engine" (LSE), una funzionalità integrata all'interno del BIOS - ovviamente in standard UEFI - dei sistemi venduti di recente e basata su un'implementazione custom di una tecnologia "ufficiale" Microsoft chiamata "Windows Platform Binary Table" (WPBT).

La tecnologia WPBT è stata progettata per garantire l'installazione obbligatoria di software di importanza "critica" anche in caso di reinstallazione del sistema operativo, spiega Microsoft, con i file binari (applicazioni Windows native da far girare in modalità utente) conservati all'interno del firmware UEFI e reinstallati sul sistema in fase di avvia prima ancora dell'esecuzione del boot loader del disco fisso.
LSE sfrutta il meccanismo di persistenza di WPBT per installare un tool chiamato "OneKey Optimizer" (OKO), da più parti bollato come un vero e proprio crapware che pretende di "ottimizzare" il PC mentre invia dati sull'utilizzo del sistema ai server remoti di Lenovo. Un rootkit, lo hanno definito gli utenti, che per di più è affetto da una vulnerabilità di sicurezza scoperta e comunicata a Lenovo già mesi or sono.

Il crapware UEFI di Lenovo non rispetta le specifiche stabilite da Microsoft con WPBT, e non a caso la corporation ha già distribuito un aggiornamento al firmware per la rimozione di LSE dai PC interessati: i laptop della linea Thinkpad non sono affetti dal problema, tiene a sottolineare l'azienda.

Quel che è certo, dopo la scoperta del rootkit installato sui firmware UEFI e basati su tecnologia "ufficiale" di Microsoft per la persistenza di file binari su OS Windows, è la diffusione, tra gli utenti più informati, dell'assoluta sfiducia nei confronti delle corporation informatiche più in vista: i PC (di marca) sono oramai al di fuori del controllo dei rispettivi proprietari, una constatazione di un dato di fatto che fa sembrare molto meno "folli" gli avvertimenti di Richard Stallman sulla fine del computing personale come lo abbiamo conosciuto finora.

Alfonso Maruccia
Notizie collegate
  • SicurezzaLenovo, PC ripulitiIl maggiore produttore di PC dichiara l'intenzione di rinunciare ad adware e a bloatware: nessun software sarà preinstallato sui PC Windows 10, ad eccezione di quello che gli utenti si attendono di trovare
  • SicurezzaSuperfish si muove ancoraLo scandalo del bloatware installato sui portatili Lenovo si fa sempre più complesso: l'azienda e le autorità riconoscono il problema, l'industria reagisce e gli utenti avviano una class action. Superfish, invece, si scrolla di dosso ogni responsabilità
  • SicurezzaLenovo: Superfish puzzaLa corporation cinese nella bufera per il bloatware installato sui portatili consumer, un software che viene prima indicato come sicuro e poi relegato a componente indesiderato con tanto di istruzioni per la rimozione. Lenovo si scusa e promette di studiare a fondo la questione
  • TecnologiaSecure Boot, la reprimenda di StallmanIl guru del software libero parla in maniera diretta (e franca) della nuova funzionalità di sicurezza introdotta da Microsoft su Windows 8. Roba da mettere fuori legge, dice
59 Commenti alla Notizia Lenovo scivola sul rootkit
Ordina
  • Windows o no, la m***a nel firmware c'è comunque.

    Qualche anno fa ho sostituito il S.O. con uno (quasi) compleatemnte libero.

    Se in futuro acquisterò un nuovo "personal" computer mi accerterò della compatibilità con Coreboot
    non+autenticato
  • Ma non risolveresti comunque il problema in quanto nel momento in cui il sistema operativo parte e tu sei in rete un malware potrebbe riscrivere il coreboot, le regole di abilitazione/disabilitazione sono solo una convenzione che se uno vuole la rispetta oppure non la rispetta ... vedi il caso Lenovo. Se non hai una soluzione hw che impedisce la riscrittura di UEFI sarai punto e accapo.Sorride
    non+autenticato
  • - Scritto da: prova123

    > non la rispetta ... vedi il caso Lenovo. Se non
    > hai una soluzione hw che impedisce la riscrittura
    > di UEFI sarai punto e accapo.

    l'unica soluzione definitiva è la crittografia

    uno switch hardware è utile nel 99% dei casi, ma c'è quell'1% di quando stai sulle OO a qualche spia

    il problema è che ormai è evidente la necessità di rendere il software di base opensource, perchè questi ci marciano alla grande, violando le leggi esistenti ( evidentemente hanno le spalle coperte )

    il secure boot, ad esempio, è una grandissima idea, a patto che le chiavi non le abbiano Intel e MS, ma le abbia l'utente proprietario del computer
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: prova123
    >
    > > non la rispetta ... vedi il caso Lenovo. Se
    > non
    > > hai una soluzione hw che impedisce la
    > riscrittura
    > > di UEFI sarai punto e accapo.
    >
    > l'unica soluzione definitiva è la crittografia
    >
    > uno switch hardware è utile nel 99% dei casi, ma
    > c'è quell'1% di quando stai sulle OO a qualche
    > spia
    >

    Se uno sta sulle balle di qualche spia c'è poco da fare.

    > il problema è che ormai è evidente la necessità
    > di rendere il software di base opensource, perchè
    > questi ci marciano alla grande, violando le leggi
    > esistenti ( evidentemente hanno le spalle coperte
    > )
    >
    > il secure boot, ad esempio, è una grandissima
    > idea, a patto che le chiavi non le abbiano Intel
    > e MS, ma le abbia l'utente proprietario del
    > computer

    Infatti. Il secure boot con bios era ottimo. Il disastro a livello di sicurezza è avvenuto con UEFI ed ora è stato perfezionato con win10 A bocca aperta
    non+autenticato
  • - Scritto da: prova123

    > Infatti. Il secure boot con bios era ottimo. Il
    > disastro a livello di sicurezza è avvenuto con
    > UEFI ed ora è stato perfezionato con win10
    >A bocca aperta

    volendo si potrebbe fare pure con UEFI, ma il problema è che questi qui non vogliono la nostra sicurezza, ma vogliono controllarci

    il discorso delle chiavi era riferito a questo

    prendi ad esempio cos'ha fatto google con chromeos, che sfrutta la crittografia per evitare manomissioni di tutti i componenti del software di base

    il problema dove sta? nel fatto che alla fine della fiera, le chiavi le ha solo google

    perchè diavolo quelle chiavi non le dovrebbe avere l'utente? bisogna compilare? e il problema sarebbe? in fondo un oem può permettersi di creare una banale procedura per compilare da sorgenti che funzioni sui modelli di hardware che LUI vende

    invece no, non lo fanno perchè non vogliono farlo, non perchè creerebbe incredibili e mirabolanti difficoltà all'utente
    non+autenticato
  • - Scritto da: prova123

    > Se non
    > hai una soluzione hw che impedisce la riscrittura
    > di UEFI sarai punto e accapo.
    >Sorride

    Eh, e dove la trovo? A bocca storta
    non+autenticato
  • Ad oggi si "vola a vista" e con scarsa visibilità. Si possono trovare soluzioni ad hoc per modelli di mainboard specifici. Il minimo sindacale è comunque non utilizzare win10, ma se proprio bisogna utilizzare windows usare al massimo win7. Win8.1 inizia ad essere parzialmente UEFI compliant.
    non+autenticato
  • - Scritto da: prova123

    > visibilità. Si possono trovare soluzioni ad hoc
    > per modelli di mainboard specifici.

    esistono sul serio? ai bei tempi si, ma oggi non saprei
    non+autenticato
  • "But just as troubling is the Microsoft crap."

    As usual. Infesta i BIOS (o UEFI... si va con entrambi... alla fine sempre di inquinamento di ACPI/RSDT si tratta) col suo crapware. Come ha sempre fatto. Nonostante i PC non siano M$-brand.



    (anche se e' criminogeno e' interessante sto Windows Platform Binary Table (WPBT)... chissa' se e' gia' stato usato per "aiutarci" nell'installazione di windows-oem in pc non branded..... si quella roba slp/slic ecc gh. dovro' guardare sui soliti forum...)
    non+autenticato
  • - Scritto da: bubba
    > "But just as troubling is the Microsoft crap."
    >
    > As usual. Infesta i BIOS (o UEFI... si va con
    > entrambi... alla fine sempre di inquinamento di
    > ACPI/RSDT si tratta) col suo crapware. Come ha
    > sempre fatto. Nonostante i PC non siano
    > M$-brand.
    >
    >
    >
    > (anche se e' criminogeno e' interessante sto
    > Windows Platform Binary Table (WPBT)... chissa'
    > se e' gia' stato usato per "aiutarci"
    > nell'installazione di windows-oem in pc non
    > branded..... si quella roba slp/slic ecc gh.
    > dovro' guardare sui soliti
    > forum...)
    Eccerto che è li per "aiutarti" è noto che queste cose M$ le ha sempre fatte per pura filantropia.
    Rotola dal ridereRotola dal ridere
    Tant'è che "autochk.exe" funziona anche (se non trova la tavola nel bios) utilizza quella che ha nella immagine della installazione.
    Questo giusto per sottolineare che forse anche con un bios "non uefi" non è che puoi "magnare tranquillo".
    Distinguere le cose e sapere quale è "l'origine della malattia" è assai più utile che farsi certe pippe.
    Dopo di che (beninteso) ciascuno ripeto è libero di fare ciò che meglio crede.
    non+autenticato
  • - Scritto da: Num Letter

    > Tant'è che "autochk.exe"


    senti, tu che hai fondato l'informatica e che non ti sfugge mai nulla, non è che sai cosa succede se booto con linux, sgangello l'autochk.exe e poi faccio ripartire il windows?

    Se lo rigenera da solo attraverso il fantasma di autochk.exe oppure l'OS si rifiuta proprio di partire?
    A posters (appesi sul muro), l'ardua sentenza
    non+autenticato
  • Ok,è una cosa molto scorretta,ma ora perchè è stata pizzicata Lenovo quanti possono affermare con assoltua certezza che anche altri device non facciano lo stesso,magari in modo molto meno evidente ?
    Infondo nessuno sa cosa fa il proprio computer su internet oltre al normale trafficoOcchiolino
    non+autenticato
  • - Scritto da: Etype
    > Ok,è una cosa molto scorretta,ma ora perchè è
    > stata pizzicata Lenovo quanti possono affermare
    > con assoltua certezza che anche altri device non
    > facciano lo stesso,magari in modo molto meno
    > evidente
    > ?
    > Infondo nessuno sa cosa fa il proprio computer su
    > internet oltre al normale traffico
    >Occhiolino

    A essere cauti direi:
    Infondo QUASI nessuno sa cosa fa il proprio computer su
    internet oltre al normale traffico
    :D
    non+autenticato
  • - Scritto da: prova123

    > A essere cauti direi:
    > Infondo QUASI nessuno sa
    > cosa fa il proprio computer
    > su
    > internet oltre al normale traffico
    >A bocca aperta

    mi sto convincendo sempre più che la migliore scelta sia comprare un chromebook e flasharci sopra coreboot
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: prova123
    >
    > > A essere cauti direi:
    > > Infondo QUASI nessuno
    > sa
    > > cosa fa il proprio computer
    > > su
    > > internet oltre al normale traffico
    > >A bocca aperta
    >
    > mi sto convincendo sempre più che la migliore
    > scelta sia comprare un chromebook e flasharci
    > sopra
    > coreboot
    e togliere l'os googliano, immaginoSorride
    non+autenticato
  • Perchè togliere ? Lo hai pagato. Fai una seconda partizione e magari lo usi in dual boot. Fa sempre comodo avere un secondo os per accedere all'altro quando non è attivo. Quando sei offline non ci sono problemi. Occhiolino
    non+autenticato
  • - Scritto da: prova123
    > Perchè togliere ? Lo hai pagato. Fai una seconda
    > partizione e magari lo usi in dual boot. Fa
    > sempre comodo avere un secondo os per accedere
    > all'altro quando non è attivo. Quando sei offline
    > non ci sono problemi.
    >Occhiolino
    Pagato?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • Però dopo aver analizzato coreboot e modificato in hardware UEFI per evitare eventuali tentativi di sovrascrittura durante il run del sistema operativo qualunque esso sia. Le disabilitazioni non hardware lasciano il tempo che trovano. Che palle! Perplesso
    non+autenticato
  • - Scritto da: prova123
    > Però dopo aver analizzato coreboot e modificato
    > in hardware UEFI
    Hardware?
    Rotola dal ridereRotola dal ridere
    E da quando il BIOS è hardware?
    E cosa c'è da "analizzare" in coreboot dato che (se lo usi) ce lo metti tu e è sotto il tuo controllo (a differenza di qualunque bios proprietario)?

    o forse sarà meno "hardware" o "quasi hardware"?
    Newbie, inesperto
    E secondo te (domandine delle 100 pistole) se si cambia il bios ma si tiene attivato windoze con tanto di "autochk.exe" cosa succede?
    Magnamo tranquilli?
    Rotola dal ridereRotola dal ridere
    Hai le idee leggermente confuse su cosa sia hardware cosa sia software e sui rispettivi ruoli...
    non+autenticato
  • Qui l'ultimo ad essere rimasto avere confusione su discorsi hw, sw e fw questo sei tu, è proprio il caso dii dire: poche idee ma confuse.A bocca aperta
    Quando ci saranno i clienti che ti riporteranno il computer piantato ora non ti sarà più sufficiente formattare banalmente il disco ... ti aspetta un futuro di figure di merd*! Cambia mestiere finchè sei in tempo.
    non+autenticato
  • Secondo me winzozz potrebbe avere già al suo interno dei "pacchetti" di eseguibili dei vari venditori, con quello relativo alla marca acquistata che si attiva durante l'installazione, permettendo di fare data mining.
    La M$ vede il software come un videogame coin-op da ufficio: tu continui a pagare e tutto funziona facile facile con le lucine colorate.

    -i produttori: pagano e hanno lo "spazio d'intervento privilegiato" verso le chiappe degli utenti, per il loro data mining.
    -altre aziendone pagano e hanno i link predefiniti nel browser predefinito.
    -gli utonti pagano e hanno il cloud M$ facile facile
    -le aziende pubblicitarie pagano e hanno accesso ai dati degli utonti

    Io sensibilizzerei l'utonza reindirizzando i dati che sarebbero andati alla Lenovo dritti su FaceBook.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)