2015-08-12

Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない

最近のLenovoのBIOSのアップデートに以下のものがある。

Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS

この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。

などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。

Lenovo G50-80 dialog box - Ars Technica OpenForum

Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoのものかMicrosoftオリジナルのものかどうかを調べ、Lenovoのものでなければ、オリジナルはC:\Windows\system32\0409\zz_sec\autobin.exeに移動され、独自のautochk.exeが書き込まれる。

ブート中に、Lenovoのautochk.exeは、LenovoUpdate.exeとLenovoCheck.exeをsystem32ディレクトリに書き込み、インターネット接続が行われた場合に、どちらかをサービスとして実行する。これが何をしているのかについて詳しくは知らないが、この内の一つは、http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.jsonを読み込むらしい。これはsslを使っていないし、"ForceUpdate"というパラメーターがあることから、どうも怖い。通信を改変できる誰からでも(public wifiとか)任意のコードを実行可能な脆弱性として利用できそうだ。

アホか? Lenovoは脳の髄までアホなのか? なぜBIOSがファイルシステムの、しかもOSの重要なファイルを改変しているのだ? Windowsのアップデートやアップグレードで動かなくなることは必然として、悪意すら感ずるほどのスガスガしいマヌケっぷりだ。

Lenovoがこれを実装するのに必要な技術者の誰か一人でも、「俺の屍を越えて行け」という態度を取らなかったのは驚くべきマヌケっぷりだ。Lenovoは上から下までマヌケしかいないか。

Lenovo製品を使うのは大いにセキュリティ上のリスクだ。絶対に使ってはいけない。

Lenovo quietly installed software on laptops, even if you wiped it

なお、Lenovoが利用していたのはMicrosoft公認(Lenovoの脆弱性が発覚してから利用規約が修正された)の機能で、もともとは盗難防止プログラムなどの、Windowsの再インストールを経ても維持されるソフトウェアをPCベンダーが作りたいときに使えるWindows Platform Binary Tableという機能だったらしい。

4 comments:

  1. ブログだけじゃなくてLenovoに言ったほうがいいんじゃないんですか?
    この文面で。

    ReplyDelete
  2. >>1
    Lenovoに言うなんて、それこそ時間の無駄だろw
    Lenovoは分かっててやってるんだよ。国家戦略の一環だよw

    ReplyDelete
  3. 最近の'通信の最適化'もLenovoがやっていることと大差ありませんね。

    ReplyDelete

You can use some HTML elements, such as <b>, <i>, <a>, also, some characters need to be entity referenced such as <, > and & Your comment may need to be confirmed by blog author. Your comment will be published under GFDL 1.3 or later license with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.