Újabb crapware miatt kell a Lenovo-nak magyarázkodnia

Titkosítás, biztonság, privát szféra

Az év elején voltak már kellemetlen napjai a Lenovo-nak a Superfish ügy miatt. Most ismét valami hasonló, kellemetlen helyzetbe keveredett a gyártó.

Az Ars Technica szerint a Windows 8 / Windows 10 tartalmaz egy sokak számára ismeretlen és meglepő funkciót. Az OEM PC gyártók beágyazhatnak windowsos végrehajtható állományt a gépeik firmware szoftverébe. A Windows 8/10 ezt a végrehajtható állományt kibontja a boot során és automatikusan futtatja. Ezzel a mechanizmussal az OEM gyártó saját szoftvert injektálhat a Windows rendszerbe, akkor is, ha az frissen került újratelepítésre.

Úgy tűnik, hogy a legtöbb OEM gyártó nem él ezzel a lehetőséggel. Nem úgy a Lenovo. Tavaly október és idén április közt a Lenovo felhasználta ezt a "feature"-t arra, hogy egy "Lenovo Service Engine" nevű szoftvert telepítsen egyes Lenovo eszközökre. Az Ars Technica egyik fórumozója Windows 7 alatt is megfigyelt egy nemkívánatos viselkedést, mégpedig azt, hogy Windows rendszerfájl (autochk.exe) kerül lecserélésre...

Részletek itt és itt.

A Lenovo tegnapelőtti állásfoglalása az ügyben itt olvasható.

( traktor | 2015. 08. 13., cs – 14:17 )

Oh, hat ez remek hely egy virusnak... csodalom, hogy meg nem hallottunk felole. (legalabbis en nem)

( hokuszpk | 2015. 08. 13., cs – 16:15 )

az MS-nek nincs valami kommentarja ?

A hwsw-n említik, pl.: a lopás utáni segédprogramokat.

Ellopják, legyakják róla a mindenséget, de a gyártón keresztül akkor is hozzáférek a webkamerához, el tudom kérni a közeli wi-fi hotspotok helyeit, stb. Ez azért igencsak hasznos is tud lenni adott esetben.

Más kérdés, hogy a Lenovo tényleg bassza meg magát.
--
blogom

Ezen rugózhatunk, de Pistkének, akinek apja-anyja keres havi nettó 120-at, igenis, adatok nélkül is megér a laptop egy kisebb vagyont.

De ahogy látom, a többség félreértett: szerintem is jár egy hatalmas seggberúgás a Lenovonak. Személy szerint erősen gondolkozom abban, hogy akarok-e Motorolát venni legközelebb (kb. az egyetlen használati eszközöm, ami a Lenovohoz köthető). De ez a Win feature, attól függetlenül, hogy egyikőnk sem tudja elképzelni, hogy használná, egyeseknek igenis számíthat.
--
blogom

biosban ott az update lehetoseg end-users reszre, bekapcsolhato. innentol barmilyen megnyugtatasra megfogalmazott valasz hiheto, rendszertol fuggetlenul?

ezt most nem csak a Lenovo reszere kritika, es a kerdesed is nehezen ertelmezheto, lasd CIH virus. pedig azt meg a kobaltas korbol ismerjuk. talan emlekszel ra, talan nem.

--
Vortex Rikers NC114-85EKLS

Ez már nem rés, hanem egy zár nélküli ajtó ...
Csak az nem megy be rajta, aki nem akar...
Tetszenek ezek ... Hogy is hívja gelei? Ja megvan ... feature ... Mert ugye az ilyen dolgok mind f@sza fejlesztések ...

Mondjuk a Win eddig is tartalmazott "hátsó kaput". Pl. F8 után, helyreállítási módot választva, minden jelszót meg lehet változtatni! Ez a win7-ben is benne van.

Na álljunk már meg egy szóra, itt arról van szó, hogy az OEM becsomagolhat valamit (normális esetben drivert, lopásgátlót, stb.), ez hol biztonsági rés?

Ja, hogy az OEM véletlenül valami mást tett bele? AKkor kést se lehessen venni, mert valaki nem rendeltetésszerűen fogja használni?

ez hol biztonsági rés?

ha tetszoleges kodot beleteszek a firmware-be, akkor a vindoze faszan lefuttatja azt is? Ha igen, akkor mostmar te is erted, hol a biztonsagi res: SYSTEM joggal lefut 'valami' (=barmi). Btw. melyik driver az, amit a firmware-be *kell* tenni es onnan kiolvasni? A lopasgatlot odatenni sem tul korszakalkoto otlet, mert semmivel nem jobb, mint ha a diszkre lenne pakolva.

Ja, hogy az OEM véletlenül valami mást tett bele? AKkor kést se lehessen venni, mert valaki nem rendeltetésszerűen fogja használni?

otromba csusztatas ezt a kessel osszevetni, mert a kes eseteben vegig te (aki fogod a kezedben) vagy kontroll helyzetben. A keses hasonlat ugy allna meg, ha pl. okoskesrol lenne szo, amit valaki (nem tudjuk ki, hogy mik a szandekai, stb.) tudna tavolrol iranyitani...

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

> ha tetszoleges kodot beleteszek a firmware-be, akkor a vindoze faszan lefuttatja azt is

Biztos vagyok benne, hogy ez nem ilyen egyszerű. Bár a secure bootot is szidják az emberek, szóval ez a van sapka-nincs sapka tipikus esete.

> Btw. melyik driver az, amit a firmware-be *kell* tenni es onnan kiolvasni?

Amit oda _kell_, olyat nem tudok, de olyan eszközöm volt már, ahol a vendor driver nélkül sem a touchpad, sem a touchscreen, sem a bluetooth (egérhez) nem működött, kellett szerezni egy usb-s egeret. Ezt szépen meg lehetett volna oldani egy firmware-ből telepített driverrel.

> A lopasgatlot odatenni sem tul korszakalkoto otlet, mert semmivel nem jobb, mint ha a diszkre lenne pakolva.

???
Aztán miért nem?

Nem értem a feltétel nélküli jóhiszeműségedet. Pedig sok a negatív példa az elmúlt évtizedek tapasztalata alapján.

Rossz és lyukas kódot gyárt mindenki vagy direkt vagy más ok miatt. Nincsenek minőség ellenőrzési elvárások és felelősség. Így nyugodtan folytatható a bepróbálkozás időre időre. Nincs vesztenivaló.

> Nem értem a feltétel nélküli jóhiszeműségedet

Pedig elég egyszerű: ha elfogadom azt az elméletet, hogy mindenki, de tényleg mindenki az OEM-től az oprendszer vendoron át a kormányig rosszat akar nekem, nem fogom tudni élni a saját életem.

Igyekszem ésszel kezelni a magánéletem és az internet közti (valóban, törékeny) viszonyt, igyekszem tudatosan használni ezeket az eszközöket, stb., de ha mindent ennek rendelnék alá, én is úgy végezném, mint a mester, aki élő adásban ette meg a saját lábáról a körmöt/gombát, mert nem vette észre, hogy nemcsak a kormány figyeli, hanem emberek százai is.

Szerintem meg kell találni az egyensúlyt. Úgy gondolom, ez a feature/sechole lehet hasznos, és lehet rosszul is használni. Ha a késes példa nem volt jó, mondhatnám a dúsított uránt is, amivel lehet áramot fejleszteni, meg embereket ölni. Akkor most a dúsított urán rossz dolog?

Akkor most a dúsított urán rossz dolog?

mar megint ossze-vissza hadovalsz. Az erintett ugyben 2 ordas dolog van: 1: a vindoze egyaltalan hajlando olvasni a flash-bol. 2: a lenovo meg (mar megint) valami finoman szolva megkerdojelezhetot tett ennek kihasznalasaval.

Muszakilag az egvilagon semmi nem idokolja sem 1-et, sem 2-t.

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

Bár a secure bootot is szidják az emberek

mi koze a secure boot-nak ehhez az agyhalalhoz?

Ezt szépen meg lehetett volna oldani egy firmware-ből telepített driverrel.

ha mar oem-rol beszelunk, akkor a drivert siman felteheti a gyarto, ugyhogy ez az erv is kilove

Aztán miért nem?

#1: bela nem zuzza le a vindozet. Ebben az esetben a lopasgatlo mehet a diszkre is, driver, service, whatever formaban
#2: bela lezuzza a vindozet. Ebben az esetben mi olvassa ki a firmware-bol a (vindozes) lopasgatlot?

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

#2: bela lezuzza a vindozet. Ebben az esetben mi olvassa ki a firmware-bol a (vindozes) lopasgatlot?

A cucc a biosba van egy option rom, nem a Windows olvassa ki hanem postkor szépen megkeresi az autochk.exe-t a könyvtárba és lecseréli (úgyhogy ezért nem lehet az MS-t szidni :(), gondolom, ha lenne rá kereslet lehetne írni olyat ami ext2-n cseréli le a /bin/bash-t sajátra. :D

az ember néha szeretne clean installt csinálni a gépen.

jogos, vindozerol van szo. De amint azt kideritettuk: semmi nem indokolja muszakilag, hogy a firmware-be tegyel egy userland-ben futo cuccot.

Nem teljesen érted, hogy működik ez a dolog, ugye?

plz, potold ki a hianyossagaimat, LOL... :-)

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

Akkor felteszek rá egy Win7-et miután lenyúltam. Találd meg. (az akármilyen Pro izé Intel 5 már tudott VPN-t felhúzni OS-től függetlenül és azon remote access-t adni, valahogy ahhoz nem kellett, hogy a Win auditálatlan kódokat futtasson a felhasználó engedélye és kérése nélkül)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szerintem a megoldás egyszerű lett volna. Amikor az MS kitalálta ezt a megoldást, akkor a security részleg meg az ügyvéd részleg felhívhatta volna egymást, hogy gyerekek írjunk már bele az OEM szerződésbe egy olyat, hogy ez a funkció csak erre és erre használható, egyébként örök életre elveszti az OEM jogát az adott cég, aki másra akarja használni.
Így nem érhetné egy rossz szó sem az MS-t, mindent megtett, hogy felhívja a figyelmet és tegyen az ellen, hogy egy rizikós, de bizonyos esetekben hasznos fumkciót "körülbástyázzon" a jó cél érdekében a maga eszközeivel.

( bognarpeter | 2015. 08. 13., cs – 17:52 )

Ha esetleg megcsömörlenél a hír hallatán, ne csüggedj!

Jólárasítva veszek Lenovo notebookokat 4000 Ft/kg áron. :)

( sj | 2015. 08. 13., cs – 19:40 )

ket kerdes:

- hogy lehet a vindozen letiltani ezt a lehetoseget?
- hogy lehet kiutni a firmware-bol ezt a fost?

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

( carlcolt | 2015. 08. 13., cs – 22:53 )

Ezert hasznalok OS X-et, azon csak az NSA userek tevekenyseget nem zavaro crapware-jei vannak rajta gyarilag ;)

( therion | 2015. 08. 13., cs – 23:01 )

Már a Superfish balhé idején is azon a véleményen voltam, hogy a Microsoft éppen olyan bűnös a dologban, mint a Lenovo.

Ezt itt is fenntartom. Pedig a nagy hármasból (Apple, Google, MS) még ők a legkevésbé antipatikusak számomra.

"Ezt itt is fenntartom. Pedig a nagy hármasból (Apple, Google, MS) még ők a legkevésbé antipatikusak számomra."

Meg is mit lehet utalni az Apple-ben annyira? Pl. egy MS Office-t, vagy akar meg egy Windows-t is van, hogy kotelezo hasznalnod (lattam mar tobb Windows only vallalatiranyitasi rendszert), de az Apple-nek minden termeke olyan, hogy ha nem akarod, nem veszed meg, azt mindig csak valasztod, ha tetszik, nem az Apple hibaja, ha egy termekpalettabol minden mas szar. Az Apple a harmasbol az egyetlen, akinek ha nem tetszenek a termekei, akkor nem kell hasznalnod, egyedul a magamhoz hasonlo trollok lehetnek okok arra, hogy utald oket. ;)

Raadasul ebben is elkepzelhetetlen egy Superfish szeru tortenet egy Macbookban OS X-szel. :) Meg a videokartya gyartok catalyst/nvidia settings szarjai sincsenek rajta.

Akkor megkozelitem maskepp. iOS fejlesztoket alkalmazok kivetelevel nincs olyan munkaltato, aki OS X hasznalatara kenyszeritene teged (plane nem sajat koltsegen). Ugyanakkor jo esellyel kell sajat laptopodon dolgoznod egy xlsx/docx file-on, vagy rosszabb esetben egy csak Windows-ra irt programon veletlenszeru munkaltatot kivalasztva.

" aki OS X hasznalatara kenyszeritene teged (plane nem sajat koltsegen)." Dehogynem. Nalunk volt olyan egyszer, hogy a fonok kitalalta, hogy marpedig a fejlesztok egy resze OS X-et hasznal (Java-s webalkalmazasokat csinaltunk). Hiszen az UNIX, a Mac az egyik legjobb fejlesztoi gep stb. Mindenki kapott egy akkoriban legujabb Macbook modellt, es hajra.
Na, hat ok hasznalhatatlannak tartottak az egeszet.
Masreszt: sok helyen a kulonfele consultantok, account managerek is Macet hasznalnak, mert annak van "represent factora". De ok is kerik ra vissza a Windowst, hogy dolgozni is tudjanak. Dynamics CRM peldaul nincs OS X-re.

"Nem tudok Windowson iOS-re fejleszteni."

Igen, ezt az egyet mar a korabbi kommentemben is emlitettem, hogy kivetel. De nem mindenki akar iOS-re fejleszteni, csak a programozok egy kis hanyada. Windows-only programok pedig tonnaszamra vannak rengeteg teruleten. Es sokan kenyszerulnek arra, hogy emiatt sajat koltsegukon vegyenek Windows-t (geppel egyutt vagy anelkul). Mac-et meg ha elvarja a munkaltato, ki is fizeti.

Nem csak ez kivetel. Nem tudok peldaul Windows-on Safarit hasznalni, ha mondjuk tesztelni szeretnem Safari alatt a weboldalamat. Kell hozza egy Mac.

Ugyanugy nem tudom hasznalni a GarageBandet, ha eppen zenet szeretnek szerkeszteni. Az is Apple termek, de ugyanugy OS X-only. Pont, mint a Dynamics CRM a Microsoftnal.
Ugyanigy a Final Cut-hoz is kell OS X.
QuickTime sincsen Windowsra mar.

OS X-only programok is pontosan akkora mennyisegben vannak, mint amekkora az OS X piaci reszesedese. Es ha eppen hasznalni akarod oket, sajat koltsegre kell venned egy Macet. Mert OS X-et csak azon hasznalhatsz legalisan. Szoval meg az sincs meg, hogy OS X-et tudjak venni meglevo gepemhez. Windowst meg tudok onalloan, meglevo gephez is venni (akar Machez is).
Peldaul az OmniGraffle egy baromi jo prototyping szoftver, de OS X (es igy Mac kell hozza). Vagy ott van a TextMate. Igen, kevesebb OS X-only szoftver van, mert joval kisebb az OS X piaca.

Ugyanakkor jo esellyel kell sajat laptopodon dolgoznod egy xlsx/docx file-on, vagy rosszabb esetben egy csak Windows-ra irt programon veletlenszeru munkaltatot kivalasztva.

Tehát nem a Microsoft kötelez téged a Windows/Office/stb. használatára, hanem a saját munkáltatód. Nem tudom, melyik országban élsz, de mifelénk senki nem kötelez arra, hogy aláírj egy adott céghez. Tehát akkor téged ki kötelez és mire?

( khiraly | 2015. 08. 13., cs – 23:41 )

En konkretan visszasirom azokat az idoket, amikor meg OEM CD-ken volt rajta a telepito media.

Most is lehetne egy telepito pendrive kisereteben...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( log69 | 2015. 08. 14., p – 13:42 )

Az meg van mikor a Lenovo malware-t tartalmazó drivereket szállított? Ha jól rémlik, alá is írta azokat.

"Computer maker Lenovo is shipping a malware-infected software package to Windows XP users ... It was found the Lenovo Trust Key software for Windows XP, a digitally signed driver package available to Windows XP SP2 users."

http://www.zdnet.com/article/malware-found-in-lenovo-software-package/

Legutóbb meg a Superfish dolga.

A firmware-be rejtett malware sem új (gondolom régóta létezik):
http://hup.hu/cikkek/20150217/hdd_firmware_malware-t_fedezett_fel_a_kas…

( kovi | 2015. 08. 14., p – 18:35 )

egeszen megdobbento, hogy az egyik legnagyobb atlas szerzodeseket birtoklo brand mikeppen golyozza ki magat a poziciojabol. maga a hir nem teljesen meglepo, egyes orszagokban kormanyzati szferaban a Lenovo nem jatszik, eppen firmware okokra hivatkozva. evek ota.

megdobbento, szandekosan sem lehetne jobban artani. a notebook hw higulni latszik, a sw koruli bizalom meg romokban all. persze johet a rohejes hype, hogy segits notit tervezni.

--
Vortex Rikers NC114-85EKLS

egyes orszagokban kormanyzati szferaban a Lenovo nem jatszik, eppen firmware okokra hivatkozva. evek ota.

ha legkozelebb gepet veszek, az tuti nem lenovo lesz. Van egy elegge szenne hajtott lenovo netbookom, bar arra ahogy hazavittem kuszott fel a kedvenc linuxom...

--
"Egy fekete farmer szvsz [...] sokkal kenyelmesebb nagy melegben." (hrgy84)

senkit nem erdekel mit tettel fel ra, otthoni szferaban 1%-on belul foleg nem. emellett en jelen pillanatban nem is mernek ra fogadni akar 10e Ft-tal sem, hogy a random Linux terjesztessel nem trukkoznek joparan.

rotfl en allat meg kapaloztam a feher bios-ok ellen. b+ hat ott legalabb keszulsz egy lehetseges incidensre, vagy ketkedve fogadod amit ratoltesz.

ui nyilvan leszarom az erzelgest, az ujhullamos gepekbol nekem pont eleg volt, de ha a Lenovo neadjaeg kiesik a business kategoriaban betoltott szerepebol, vagy csak teret veszt nagyvallalati szferaban akkor nekunk konkretan harangoztak. en, egyszeru kis debreceni akarki tudnek segiteni gepet tervezni es azt is tudnam hogyan kell a nagyvallalatokkal banni, szorosan csak ezekkel elhagytam az egy evtizedes tapasztalatot. megsem en intezem ezeket es csak nezem hogyan sullyed par hajo, alkalmankent a mienket is lentebb huzva :(

emlekszem, ahogyan a HP-n rohogtem par eve, hogy nem tudjak mit akarnak. az lassan semminek tunik ehhez kepest.

--
Vortex Rikers NC114-85EKLS

( hardhead | 2015. 08. 14., p – 19:43 )

Nem azzal kellene foglalkozni, hogy miért tesz bele biztonsági lyukat az MS? Engem elsősorban ez háborít fel. Az, hogy ezek után melyik cég az, amelyik "nem a kívánatos mértékű" együttműködést mutatja - és ezért tönkre kell tenni - az engem nem igazán érdekel...

Mi a biztonsági lyuk abban, hogy egy adathordozóról adatot másol/futtat? Ha nem tetszik, törlöd az adathordozót, vagy nem veszel olyan terméket, amiben nem törölhető ez az adathordozó, vagy olyan terméket veszel, amiben nincs ilyen. A hardvergyártónak kellene felelősen használni a lehetőséget, és megfelelően tájékoztatnia a vevőit.

:)

Mondjuk az összes fizetős szoftver mellé illene teljes felhasználói dokumentációt adni. Furcsa is, hogy a szoftveres aktivisták még nem mentek neki rendesen az MS-nek a Windows ilyesfajta hiányosságai miatt. Az is érdekes, hogy Magyarországon forgalmazható Windows, noha teljes értékű "használati utasítás" nem jár hozzá. Tudom, hogy nem hardver, de egy bonyolult rendszer, ami vezérel hardvert, illetve kezeli a felhasználó adatait, köztük érzékeny adatokat, és ezek miatt meg lehetne követelni a dokumentációt.

:)

Egyik haver úgy állt neki win10-et telepíteni, hogy volt egy jókora listája arról, hogy mit kell kikapcsolni.

Másik haver cégénél pedig minden dolgozó kapott egy levelet a "fő rendszergazdától", hogy win10-et céges gépre (akármennyire is admin az illető) tilos telepíteni, win10-es eszközt céges hálóra tilos csatlakoztatni, és bármiféle céges tevékenységet win10 alól tilos végezni (vpn, webmail, whatever).

> Furcsa is, hogy a szoftveres aktivisták még nem mentek neki rendesen az MS-nek a Windows ilyesfajta hiányosságai miatt

Nyitott kapukat döngetsz, a Windows-nak nincs ilyen hiányossága.

http://windows.microsoft.com/en-us/windows-10/support :)

> de egy bonyolult rendszer, ami vezérel hardvert, illetve kezeli a felhasználó adatait, köztük érzékeny adatokat, és ezek miatt meg lehetne követelni a dokumentációt

Ezen logika alapján viszont ne csak a fizetős szoftverektől legyen megkövetelve, hanem az ingyenesektől is.

"Ezen logika alapján viszont ne csak a fizetős szoftverektől legyen megkövetelve, hanem az ingyenesektől is."

Most figyelj, opensource-huszár vaslogika: ott a kód, az a dokumentáció! :)

Btw. fejlesztőként eléggé utálom az aluldokumentált szoftvereket (főleg library-ket), akár proprietary, akár open-source kód.

Nyitott kapukat döngetsz, a Windows-nak nincs ilyen hiányossága.

Például hol találom meg a Windows (7-8-10) _összes_ összetevője által használt _összes_ registry-elem listáját, és azok leírását? Nem kell, hogy egy helyen legyen, úgy is megfelel, ha komponensenként külön van. (Gondolom, a felhasználónak joga van tudni, mit és milyen formában tárol(hat) a rendszerében az OS?)

Ezen logika alapján viszont ne csak a fizetős szoftverektől legyen megkövetelve, hanem az ingyenesektől is.

Te nyugodtan lobbizz érte, én annak is örülnék, amit írtam.

:)