Lenovo utilizou recurso oculto no Windows para instalar softwares

Uma nova característica em notebooks da Lenovo foi descoberta recentemente. Trata-se de um recurso oculto no Windows que permite instalar automaticamente softwares e ferramentas da empresa. Usuários haviam descoberto o recurso em maio, quando utilizaram um novo notebook da Lenovo que supostamente substitui um arquivo de sistema de forma automática a cada inicialização.

Mesmo que o Windows seja reinstalado a partir de um DVD, o recurso instala automaticamente softwares e ferramentas da Lenovo. O grande problema é o fato de não haver permissão nenhuma dos usuários para que isso aconteça. Com isso, a Lenovo está explorando um rootkit em seus próprios laptops para assegurar que seus softwares estejam presentes nas máquinas.

O mecanismo por trás do fato é o Lenovo Service Engine, que se encarrega de baixar um programa chamado OneKey Optimizer utilizado para melhorar o desempenho do PC por meio de atualização de firmware, drivers, aplicativos pré-instalados, bem como varredura de arquivos e fatores que influenciam o desempenho do sistema. Ele também envia dados do sistema em um servidor da Lenovo para ajudar a empresa a entender como os clientes utilizam seus produtos. A questão é que os usuários não têm nenhuma ideia de que isso está acontecendo, sendo muito difícil remover tal função caso descubram.

No Windows 7 ou 8, a BIOS realiza uma vistoria no arquivo "C:Windowssystem32autochk.exe" para substituí-lo por arquivos da Lenovo. Então, quando o arquivo modificado é executado na inicialização do sistema, outros dois arquivos, o LenovoUpdate.exe e o LenovoCheck.exe, são criados. Assim, eles configuram um serviço de download de arquivos assim que o computador estiver conectado à internet.

Após identificar uma vulnerabilidade no Lenovo Service Engine, que possibilita que crackers explorem o mecanismo utilizando um servidor malicioso para instalar softwares, a empresa chinesa lançou um patch para remover a função por completo. No entanto, para que isso aconteça é necessário realizar o procedimento de maneira automática.

O mecanismo que a Lenovo estava utilizando é aprovado tecnicamente pela Microsoft. O "Windows Platform Binary Table" foi lançado em novembro de 2011 e atualizado pela primeira vez em julho deste ano. O recurso permite que as fabricantes de computadores empurrem softwares através da BIOS para o sistema. Isso significa que mesmo que forem excluídos, voltarão a estar presentes nos computadores. Não há nenhuma regra que obrigue as fabricantes a notificarem os usuários sobre o funcionamento da funcionalidade, o que torna a questão uma "invasão legalizada".

Diversos modelos de computadores da Lenovo podem ter sido afetados: Flex 2 Pro-15/Edge 15 (Broadwell/Haswell models), Flex 3-1470/1570/1120, G40-80/G50-80/G50-80 Touch/V3000, S21e, S41-70/U40-70, S435/M40-35, Yoga 3 14, Yoga 3 11, Y40-80, Z41-70/Z51-70 e Z70-80 / G70-80.

Ainda não houve relatos se outras fabricantes estão utilizando deste método para infiltrar softwares próprios em seus computadores, sem conhecimento dos usuários. Ao ser questionada pelo site The Next Web, a Lenovo enviou um boletim descrevendo o patch de segurança disponibilizado para correção manual. A Microsoft ainda não se pronunciou sobre o assunto.

Fonte: The Next Web