最近のLenovoのBIOSのアップデートに以下のものがある。
Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS
この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。
などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。
Lenovo G50-80 dialog box - Ars Technica OpenForum
Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoのものかMicrosoftオリジナルのものかどうかを調べ、Lenovoのものでなければ、オリジナルはC:\Windows\system32\0409\zz_sec\autobin.exeに移動され、独自のautochk.exeが書き込まれる。
ブート中に、Lenovoのautochk.exeは、LenovoUpdate.exeとLenovoCheck.exeをsystem32ディレクトリに書き込み、インターネット接続が行われた場合に、どちらかをサービスとして実行する。これが何をしているのかについて詳しくは知らないが、この内の一つは、http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.jsonを読み込むらしい。これはsslを使っていないし、"ForceUpdate"というパラメーターがあることから、どうも怖い。通信を改変できる誰からでも(public wifiとか)任意のコードを実行可能な脆弱性として利用できそうだ。
アホか? Lenovoは脳の髄までアホなのか? なぜBIOSがファイルシステムの、しかもOSの重要なファイルを改変しているのだ? Windowsのアップデートやアップグレードで動かなくなることは必然として、悪意すら感ずるほどのスガスガしいマヌケっぷりだ。
Lenovoがこれを実装するのに必要な技術者の誰か一人でも、「俺の屍を越えて行け」という態度を取らなかったのは驚くべきマヌケっぷりだ。Lenovoは上から下までマヌケしかいないか。
Lenovo製品を使うのは大いにセキュリティ上のリスクだ。絶対に使ってはいけない。
Lenovo quietly installed software on laptops, even if you wiped it
なお、Lenovoが利用していたのはMicrosoft公認(Lenovoの脆弱性が発覚してから利用規約が修正された)の機能で、もともとは盗難防止プログラムなどの、Windowsの再インストールを経ても維持されるソフトウェアをPCベンダーが作りたいときに使えるWindows Platform Binary Tableという機能だったらしい。
ブログだけじゃなくてLenovoに言ったほうがいいんじゃないんですか?
ReplyDeleteこの文面で。
>>1
ReplyDeleteLenovoに言うなんて、それこそ時間の無駄だろw
Lenovoは分かっててやってるんだよ。国家戦略の一環だよw
最近の'通信の最適化'もLenovoがやっていることと大差ありませんね。
ReplyDeleteBest laptop under 50000 with i7 processor
ReplyDelete