Lenovo installiert "BIOS-Rootkit" auf seinen Rechnern

13. August 2015, 11:07
96 Postings

Unerwünschte Software taucht auch nach Neuinstallation von Windows wieder auf – Lenovo reagiert mit Rückzieher

Es war eine unerfreuliche Entdeckung, die ein Käufer eines Lenovo-Laptops unlängst machte: Selbst nachdem er Windows vollständig neuaufgesetzt hatte, fand sich auf dem System umgehend wieder all die unerwünschte Bloatware, die er eigentlich loswerden wollte. Also machte er sich an die Spurensuche – und förderte dabei gar Erstaunliches zu Tage.

BIOS

Lenovo versteckt nämlich bei zahlreichen seiner aktuellen Laptops über die Lenovo Service Engine (LSE) eigene Software im BIOS. Diese sorgt dafür, dass bei jedem Start eines Windows-Systems überprüft wird, ob die Lenovo-spezifischen Anpassungen installiert sind, und falls nicht die entsprechenden Änderungen vorgenommen werden. Eine Reinstallation von Windows bringt hier also keine Abhilfe.

Windows "hilft" dabei

Der Ablauf erinnert dabei stark an BIOS-Rootkits, wie sie etwa vom italienischen Hacking-Team genutzt wurden, um dauerhaft Kontrolle über einen Rechner zu erlangen. Möglich wird dies im konkreten Fall durch eine wenig bekannte Funktion in Windows 8 und Windows 10 namens Windows Platform Binary Table (WPBT). "Dank" dieser lassen sich ebensolche Binärdateien während des Systemstarts nachladen.

Kreative Interpretation

Gedacht ist WBPT ursprünglich vor allem für Anti-Diebstahlssoftware, Lenovo legt diese Idee aber etwas breiter aus. Nach der ursprünglichen Modifikation eines Systems wird nämlich gleich weitere Software aus dem Internet nachgeladen. Darunter mit OneKey Optimizer ein Programm, das zur "Performance-Optimierung" und zum automatischen Aufräumen der Platte gedacht ist – also genau jene "Crapware", für die die Hersteller immer wieder kritisiert werden.

Sicherheitsprobleme

Zu diesem Bild passt, dass all dies auch noch äußerst schlampig implementiert wurde. So wird die Kontaktaufnahme mit dem Lenovo-Server – bei der auch Informationen wie eine eindeutige System-ID übertragen werden – über eine unverschlüsselte Verbindung abgewickelt. Dies könntees Angreifern ermöglichen, eigenen Code einzuschleusen. Auch sonst soll LSE über einige Sicherheitslücken verfügen, wie ein Forscher bereits im April an Lenovo und Microsoft gemeldet hat.

Reaktion

Mittlerweile hat Lenovo auf die Kritik reagiert: In einem offiziellen Statement heißt es, dass die umstrittene BIOS-Erweiterung mit neueren Notebooks nicht mehr installiert wird. Grund dafür sei nicht zuletzt, dass man damit gegen die Sicherheitsrichtlinien von Microsoft verstoßen habe. Für bisher schon betroffene Systeme liefert man passende BIOS-Updates, die LSE entfernen. Weitere Details – samt einer Liste der Modelle und Download-Links – gibt es in einem eigenen Support-Eintrag. (apo, 13.8.2015)

  • Zwielichtige Aktionen bei Lenovo.
    foto: andy wong / ap

    Zwielichtige Aktionen bei Lenovo.

Share if you care.