Lenovo installa rootkit su PC e notebook

Dopo lo “scandalo” Superfish, Lenovo aveva promesso che non avrebbe più installato software inutile su PC e notebook. L’azienda cinese ha invece commesso lo stesso errore: nel firmware di alcuni prodotti è incluso un tool che sostituisce i file di sistema ad ogni avvio. Un ricercatore di sicurezza ha scoperto che questo software è vulnerabile.

Nel BIOS di PC e notebook con Windows 7, 8, 8.1 e 10, venduti tra ottobre 2014 e aprile 2015, è installata l’utility Lenovo Service Engine (LSE). Il produttore afferma che, su desktop, LSE invia alcune informazioni (tipo e modello del computer, system ID, paese e data) ai suoi server, quando il dispositivo viene connesso la prima volta ad Internet. Su notebook, LSE scarica e installa anche il software OneKey Optimizer (OKO) che esegue l’ottimizzazione del sistema, aggiorna i driver ed elimina i file spazzatura. In pratica, OKO può essere considerato un crapware. Invece, LSE può essere assimilato ad un rootkit.

LSE sfrutta la funzionalità Windows Platform Binary Table (WPBT), sviluppata per integrare file eseguibili nel firmware. Al boot, Windows cerca questa tabella e, se viene trovata, copia l’eseguibile nel file system. Lo scopo principale di WPBT è l’installazione automatica di software antifurto che può inviare una segnalazione al proprietario del dispositivo, anche se il ladro formatta il disco. LSE sostituisce il file autochk.exe di Windows e scarica altri file da Internet. Un ricercatore di sicurezza ha scoperto una vulnerabilità in LSE e OKO che può essere sfruttata per scaricare software infetto da un server remoto.

Lenovo ha pubblicato una guida che spiega come disattivare LSE nel BIOS dei PC e nuovi BIOS per i notebook. Per entrambi è inoltre disponibile un tool che rimuove tutti i file di LSE dal computer.