|
В началото на тази година най-големият производител на PC компютри в света - китайската компания Lenovo - беше уличена в прикритото инсталиране на адуер програма. Наречен по-късно Superfish, софтуерът, който е представял нежелана реклама на потребителите, докато разглеждат интернет страници, беше премахнат, а Lenovo се измъкнаха "сухи" от цялата тази работа. Въпросната програма не само, че е идвала предварително инсталирана с редица модели компютри на компанията, но е била и зле написан софтуер, явяващ се своеобразен троянски кон, който е можело да бъде използван за отварянето на врата към системата за киберпрестъпници. Тези дни се появи новината за втора такава практика на компанията, като тук нещата звучат доста по-сериозно. Lenovo са използвали възможността, предлагана на OEM производители да инсталират софтуер в компютрите, който оцелява независимо от инсталираната на него система. Въпросната възможност съществува за компютри, идващи с предварително инсталирана операционна система Windows 8 или 10. Lenovo са се възползвали максимално от тази възможност, използвайки тактики на истински киберпрестъпници, създавайки своеобразен руткит в системата, който работи заедно с нея, изпраща данни през мрежата, заменя легитимен Windows процес, скривайки допълнително своето присъствие и разбира се, подобно на един зловреден софтуер - прави нежелани от потребителя промени по системата. За случая съобщават от ArsTechnica след разкрития, направени от страна на потребител на форума им.Става дума за услуга - Lenovo Service Engine (LSE) - която според самите Lenovo идва единствено с някои десктоп системи и е характеристика, вградена в BIOS. Според описанието на услугата, сред данните изпращани от LSE няма информация, която би могло да идентифицира собственика на системата - модел на системата, географски регион, дата и системен идентификационен номер. Но по думите на Питър Брайт от Ars, Lenovo си противоречат сами, тъй като идентификационния номер на системата е уникален за всяка машина. И именно при лаптопи, услугата се развихря. Тя инсталира на системата програма, наречена OneKey Optimizer (OKO). Въпросният софтуер попада в графата "непотребен софтуер" (crapware). Както показва и името на програмата, тя извършва ред оптимизации по системата, някои, от които със съмнителна полза, подобно на доста "оптимизатори", които могат да се намерят в Интернет. И разбира се, както OKO, така и LSE са несигурни, уязвими и използват незащитена интернет връзка за пренос на данни по мрежата. Независим разработчик по информационна сигурност е забелязал проблема и е съобщил за него на Microsoft и Lenovo през април. Последните обещават, от своя страна, че тази практика ще бъде прекратена, и от по думите им, от юни месец, компанията доставя фърмуерен ъпдейт, който премахва въпросния софтуер, а по отношение на десктоп системите - специални инструкции как потребителите да деактивират въпросните програми. Изглежда обаче това съвсем не е всичко. Потребител на форума на Ars съобщава за зловредното поведение на LSE на машина с Windows 7. За да прикрие добре присъствието си, услугата заменя майкрософтския файл в паметта autochk.exe, който стартира заедно със системата и служи за удостоверяване на нормалния старт на Windows. След своя старт, подмененият autochk.exe създава системни услуги и започва пращането на данни по Интернет, използвайки некриптирана HTTP връзка. Самите Microsoft, посочва Брайт, специално редактират собствените си политики наскоро, за да уточнят, че всяка подобна програма, която изпраща данни по незащитен канал, трябва да бъде считана за зловреден софтуер. По всичко изглежда, Lenovo са се възползвали от възможностите, които предоставя характеристика в Windows, наречена Windows Platform Binary Table (WPBT), която между другите си функции отговаря и за автоматичната инсталация на софтуер против кражба на устройството. Тя спомага за това, даже при кражба и пълното заличаване на данните от диска от страна на крадци, WPBТ да запази функционалността на anti-theft софтуера, който на даден етап да използва мрежова свързаност, за да се свържи с оторизарините власти, които да го открият.Запитани за коментар от страна на медията, Lenovo са посочили официалното съобщение на компанията по повод спиране на инсталацията на LSE, без допълнителен коментар. |
|
