早前聯想電腦被揭發有廣告軟件 Superfish ,已引起迴響。這次聯想又犯下另一錯誤,旗下電腦竟被揭發在 BIOS 中有後門程式,使人們無法移除 Lenovo 的預裝程式。
更新程式無法移除 惹人不滿
這是在網民為一部 Lenovo G50-80 作全新安裝(Clean install)時發現的。他在重新啟動電腦後,竟發現一個彈出訊息,說為了協助更新電腦軟件和令系統更穩定、安全,請下載 Lenovo 系統優化軟件。雖然有取消的選項,但問題是作了全新安裝後,是不應該會出現這類訊息的。
之後,其他網民也發現,在 Windows32 資料夾中,有 LenovoCheck.exe 和 LenovoUpdate.exe,而在 Registry Key 中也有相關的東西。即使手動把它們刪除,在重新啟動後又會再出現。而 Lenovo Update 的服務一直在運作,即使把它停用,在下一次開機又會自動啟用。
有網民就為此在出詳盡的解釋。首先在啟動 Windows 前, BIOS 會檢視位於 System32 內的 autochk.exe 是否屬於 Lenovo 的。如果不是,就會自動產生一個 autochk.exe 。
在開機時,Lenovoautochk.exe 會產生 LenovoUpdate.exe 和 LenovoCheck.exe 到 System32 中。然後在連上網後,就會建立服務,連上 Lenovo 網站,下載驅動程式。
用家對此事紛紛感到不滿,認為 Lenovo 避免他們移除軟件,跟惡意軟件的作法沒有分別。
構成電腦安全風險
換句話說,這種自動更新的機制,等於為電腦加入了後門程式。另外,這也為電腦安全構成風險,因為在更新的過程中缺少 SSL ,容易受中間人攻擊(Man-in-the-middle Attack)。只要黑客偽裝為聯想的更新,就可以在重新啟動電腦時植入惡意軟件。
Lenovo 對此漏洞的風險也評為「高」。 Lenovo 已推出 BIOS 更新,讓用家可關掉 Lenovo Service Engine ,以解決安全問題。
手提電腦的 BIOS 更新載點: https://support.lenovo.com/us/en/product_security/lse_bios_notebook
桌上電腦的 BIOS 更新載點: https://support.lenovo.com/us/en/product_security/lse_bios_desktop
以下為受影響型號:
手提電腦:
- Flex 2 Pro 15 (Broadwell)
- Flex 2 Pro 15 (Haswell)
- Flex 3 1120
- Flex 3 1470/1570
- G40-80/G50-80/G50-80 Touch
- S41-70/U41-70
- S435/M40-35
- V3000
- Y40-80
- Yoga 3 11
- Yoga 3 14
- Z41-70/Z51-70
- Z70-80/G70-80
桌上電腦(全球):
- A540/A740
- B4030
- B5030
- B5035
- B750
- H3000
- H3050
- H5000
- H5050
- H5055
- Horizon 2 27
- Horizon 2e(Yoga Home 500)
- Horizon 2S
- C260
- C2005
- C2030
- C4005
- C4030
- C5030
- X310(A78)
- X315(B85)
桌上電腦(中國):
- D3000
- D5050
- D5055
- F5000
- F5050
- F5055
- G5000
- G5050
- G5055
- YT A5700k
- YT A7700k
- YT M2620n
- YT M5310n
- YT M5790n
- YT M7100n
- YT S4005
- YT S4030
- YT S4040
- YT S5030