Lenovo injetava software próprio em PCs com Windows mesmo após instalação limpa
Há alguns meses, a Lenovo se envolveu em uma polêmica por instalar o Superfish – malware que injeta anúncios no navegador – em alguns de seus laptops. A empresa se desculpou, e a Microsoft lançou uma ferramenta automática para removê-lo.
Agora, a Lenovo chama a atenção novamente por injetar arquivos no Windows mesmo se você fizer uma instalação limpa do sistema – tudo usando um recurso sancionado pela Microsoft.
Segundo o Ars Technica, os PCs afetados foram vendidos entre outubro de 2014 e abril deste ano, e a Lenovo lançou ferramentas para resolver o problema.
O The Next Web explica como tudo funciona: em certos computadores com Windows 7 ou 8, a BIOS analisa o programa autochk.exe – que acompanha o sistema – para ver se ele tem a assinatura da Lenovo. Se não tiver, a BIOS apaga o arquivo e o substitui pela versão da Lenovo.
Então, o autochk modificado roda na inicialização do sistema, e cria outros dois programas (LenovoUpdate.exe e LenovoCheck.exe), que ativam o serviço “Lenovo Service Engine” no Windows e baixam arquivos quando você se conecta à internet.
Em desktops, o LSE apenas envia para a Lenovo algumas informações sobre o sistema, como o modelo, ID, região e data, sem incluir dados pessoais do usuário.
Em laptops, no entanto, ele baixa o OneKey Optimizer, que é basicamente um crapware. Ele “atualiza o firmware, drivers e aplicativos pré-instalados”, o que pode ser uma manutenção útil, mas também possui funções questionáveis – ele realiza “otimizações” e “faz uma varredura por arquivos desnecessários”.
Problemas
Os usuários não pediram por este software, e não têm ideia de que ele persiste até em instalações limpas do Windows. Além disso, é muito difícil se livrar do Lenovo Service Engine, e ele tem falhas de segurança.
Pior: ele usa uma técnica que é sancionada pela Microsoft. A “Windows Platform Binary Table”, anunciada em 2011, permite que fabricantes injetem software a partir da BIOS para ser instalado no sistema, mesmo se você limpar o disco rígido e começar do zero.
O objetivo principal da WPBT é a instalação automática de software antirroubo. Mesmo se o ladrão formatar o disco e reinstalar o sistema operacional, o firmware pode restabelecer o software para avisar que o laptop foi roubado.
Usar este recurso para software antirroubo é sem dúvida desejável, porque o dono do PC escolheu fazer isso. Mas quando uma fabricante usa isso para instalar crapware, é um abuso – especialmente porque o LSE era ativado por padrão.
E em vez de oferecer mais segurança, o software da Lenovo tinha falhas. Em abril, o pesquisador Roel Schouwenberg alertou Lenovo e Microsoft sobre problemas como estouro de buffer e conexões a redes inseguras.
Como remover o LSE
Por isso, o Lenovo Service Engine deixou de ser incluso nos computadores. A empresa diz que os sistemas montados desde junho – incluindo os que vêm pré-instalados com Windows 10 – devem estar limpos.
Além disso, a Lenovo também passou a oferecer atualizações de firmware para os laptops afetados – baixe aqui – e instruções sobre como limpar os arquivos do LSE em desktops – confira aqui. Os PCs afetados estão na lista abaixo:
Notebooks:
Flex 2 Pro 15 (Broadwell/Haswell)
Flex 3 (1120/1470/1570)
G40-80/G50-80/G50-80 Touch
S41-70/U41-70
S435/M40-35
V3000
Y40-80
Yoga 3 11/14
Z41-70/Z51-70
Z70-80/G70-80
Desktops: A540/A740, B4030, B5030, B5035, B750, H3000, H3050, H5000, H5050, H5055, Horizon 2 27, Horizon 2e(Yoga Home 500), Horizon 2S, C260, C2005, C2030, C4005, C4030, C5030, X310(A78), X315(B85)
E, em julho, a Microsoft atualizou as exigências de segurança para o WPBT. Ela diz:
A Microsoft recomenda fortemente que o WPBT seja usado apenas para funções críticas em que a persistência seja um requisito fundamental… O proprietário autenticado do dispositivo deve ter a capacidade de desativar ou remover essa funcionalidade, se desejar.
Mesmo assim, esta é uma revelação preocupante. Outras fabricantes poderiam estar usando essa técnica sem o conhecimento dos usuários – algo que não está claro no momento – e nem mesmo uma instalação limpa do Windows estaria a salvo de crapware.
Fotos por Cory M. Grenier e Sam Azgor/Flickr