Lenovo no ha aprendido nada. En febrero de este a√Īo, la compa√Ī√≠a fue el centro de una tormenta por Superfish, un adware preinstalado de f√°brica en sus equipos que pod√≠a ser utilizado por terceros para robar informaci√≥n. Pues bien, lo han vuelto a hacer, y esta vez desde la BIOS y modificando hasta el arranque de Windows.

Advertisement

El nuevo caso lo han descubierto los propios usuarios de los foros de Ars Technica. Varios de ellos encontraron software de Lenovo en portátiles de la marca en los que acababan de instalar una copia limpia de Windows 7 u 8 sobre un disco duro nuevo. Después de eliminarlo y reiniciar, el Software volvía a aparecer

El caso es doblemente grave porque, para colar ese Bloatware, Lenovo ha empleado técnicas de Rootkit. Es la propia BIOS del portátil Lenovo la que instala el bloatware, y para ello sobreescribe archivos de arranque de Windows. El proceso, además, es tan chapucero que está abierto a que terceros lo utilicen como vía de ataque. El usuario Ge814 explica:

Antes de iniciar Windows 7 u 8, la BIOS comprueba si el archivo C:\Windows\system32\autochk.exe es el original de Lenovo o el de Microsoft. Si no es el de Lenovo, lo mueve a C:\Windows\system32\0409\zz_sec\autobin.exe, y escribe su propio archivo autochk.exe. Durante el inicio, el archivo autochk.exe credo por Lenovo escribe archivos LenovoUpdate.exe y LenovoCheck.exe en la carpeta system32, y activa los correspondientes servicios para ejecutar uno de ellos cuando est√© disponible una conexi√≥n a Internet. No se con seguridad qu√© es lo que hacen esos archivos, pero uno de ellos ‚Äútelefonea a casa‚ÄĚ a la direcci√≥n http://download.lenovo.com/ideapad/wind, lo que es un poco preocupante, sobre todo si tenemos en cuenta que es una actualizaci√≥n forzada sobre una p√°gina sin SSL. Es muy probable que esa instrucci√≥n pueda ser modificada para inyectar c√≥digo malicioso con solo interceptar la conexi√≥n desde una red p√ļblica.

Advertisement

Una posible solución

Seg√ļn explican los usuarios de Ars Technica, el problema proviene de una herramienta presente en la BIOS de algunos port√°tiles Lenovo y conocida como Lenovo Service Engine o LSE. Esta herramienta env√≠a algunos datos no personales a los servidores de Lenovo. Recientemente, Microsoft cambi√≥ sus directrices de seguridad, y LSE no las cumpl√≠a, as√≠ que la compa√Ī√≠a dej√≥ de integrar ese servicio en sus nuevos port√°tiles y public√≥ un software (lo pod√©is descargar aqu√≠) para eliminar LSE de los que lo tuvieran en su BIOS.

Se supone que aplicando esa herramienta es posible eliminar LSE, pero no est√° claro a√ļn si con ello desaparece todo el software que Lenovo instala de tapdillo a trav√©s de la BIOS. Tampoco est√° claro c√≥mo afecta (si lo hace) a Windows 10. Seguiremos al tanto de esta nueva vulnerabilidad en potencia para a√Īadir m√°s detalles si son necesarios. [Hacker News v√≠a Ars Technica]

Advertisement

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)