Visszaélt a bizalommal a Lenovo

Házhoz ment a pofonért a Lenovo – máshogy nehezen lehetne magyarázni, hogy a cég a februári Superfish-eset után (amikor kiderült, hogy a gyártó minden tájékoztatás és jóváhagyás nélkül, saját tanúsítványával térített el HTTPS kapcsolatokat, hogy titkosított csatornán kommunikáló oldalakba is harmadik féltől származó reklámokat szúrjon be) tovább folytatott egy másik sunyi, és szintén biztonsági kockázatokat jelentő tevékenységet. Gyakorlatán csak valamikor május végén vagy június elején módosított, külső nyomásra, amikor egy független biztonsági szakértő jelezte a sérülékenységeket felé és a Microsoftnak is.

WPBT - micsoda?

A Lenovo a nyilvánosság előtt egy eddig gyakorlatilag ismeretlen Windows-kiskaput használt ki, amit a Microsoft elsősorban azért épített be operációs rendszereibe, hogy a gyártók hatékony és perzisztens lopásvédelmi megoldást kínálhassanak vásárlóiknak. A Windows Platform Binary Table (WPBT) egy Microsoft által definiált, kibővített ACPI-képesség (Advanced Configuration and Power Interface), ami lehetővé teszi, hogy PC-gyártók futtatható állományt helyezhessenek el a BIOS-ban, amit a Windows a bootolási folyamat elején, az inicializáláskor végrehajthat.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Fontos kiemelni, hogy a WPBT specifikációja alapján ehhez az adott gyártó részéről csak a BIOS (pontosabban UEFI) megfelelő előkészítése szükséges, a Windows hivatalosan (erre még később visszatérünk) a 8-tól támogatja ezt a funkciót, így egyéb egyedi változtatás – például speciális Windows-lemezkép használata – nem szükséges. A specifikáció szerint a csak felhasználói jogosultságokkal, a PC-gyártó által kötelezően aláírt (melynek hitelességét természetesen a Windows ellenőrzi) futtatható állományt az UEFI a fizikai memórián keresztül adja át az operációs rendszernek, amely azt végrehajtja.

A WPBT leírásának első változata érdekes módon még nem tartalmazta a "Biztonsági megfontolások és követelmények" részt, azt a Microsoft csak idén július 8-án, négy évvel az eredet dokumentum kiadása után illesztette bele. Vélhetően azért, mert józan paraszti ésszel a redmondi vállalatnál senki nem gondolta, hogy bármelyik erre hitelesített gyártópartnerének eszébe jutni azt rendeltetésétől eltérő módon használni.

A bővített specifikációban a Microsoft már részletezte a biztonsági ajánlásokat és követelményeket, valamint belefoglalta, hogy a gyártók így nem telepíthetnek a felhasználó (vagy üzemeltető/tulajdonos, lásd vállalati környezet) által esetleg nemkívánatosnak minősíthető szoftvert kifejezett beleegyezés nélkül.

LSE és OKO

A Lenovo egyes 2014 októbere és 2015 áprilisa között gyártott asztali PC-k és laptopok esetében használta ki a fenti lehetőséget, Lenovo Service Engine (LSE) név alatt. Ez asztali gépeken csak a vállalat állítása szerint csak személyhez nem köthető konfigurációs adatokat küldött a Lenovónak az érintett eszközök legelső bekapcsolása után, majd automatikusan deaktiválódott.

Az így módosított noteszgépek tulajdonosai már nem úszhatták meg ennyivel. Az eddigi információk szerint (amiket kísérletező kedvű és nem mellesleg személyesen is érintett felhasználóknak köszönhetünk) az LSE ezeken a notebookokon az operációs rendszer inicializálásakor kicserélte a Windows saját autochk.exe állományát (a Chkdisk kizárólag boot során futtatható változata, ami a fájlrendszer integritását ellenőrzi) egy Lenovo által aláírt fájlra. Azt a Windows bootoláskor végrehajtotta, a művelettel pedig létrehozott két további állományt (LenovoCheck.exe és LenovoUpdate.exe), melyek titkosítatlan HTTP csatornán keresztül további fájlokat töltöttek le telepítésre.

Így kerülhetett fel mindig a gépekre a OneKey Optimizer – egy "teljesítményoptimalizáló" programcsomag, ami tipikusan a vásárlókra erőszakolt crapware vagy bloatware kategóriába esik. Bizony, mindig – akkor is, ha a felhasználó egy mindenféle gyártói beavatkozástól mentes, "szűz", közvetlenül a Microsofttól származó, dobozos Windowst telepített.

Ahogy a bevezetőben említettük, miután egy független biztonsági szakértő, Roel Schouwenberg sérülékenységeket jelzett a Lenovónak az LSE-ben, a vállalat beszüntette a BIOS-módosítást, és kiadta az LSE eltávolításához szükséges BIOS frissítéseket. A műveletet azonban a letöltéstől a frissítésig manuálisan kell végrehajtani, ami a Lenovo szerint "erősen ajánlott".

Hosszú idő felépíteni, egy pillanat lerombolni

A Lenovo elszúrta lényegében mindenhol, ahol csak lehetett. Egy eszközbiztonságra kihegyezett gyári hátsó ajtót saját önös célokra használt, hogy sérülékenységekkel tarkított, nem biztonságos csatornán kommunikáló, esetenként nem kívánt szoftvert telepítsen, a felhasználók vagy üzemeltetők értesítése és jóváhagyása nélkül. Már a Superfish is nagy negatív pr-ral és bizalomvesztéssel járt, a mostani esetet követően pedig joggal merülhet fel a kérdés a meglévő és leendő ügyfelei fejében: Vajon mennyire bízhatunk meg a cégben ezek után?

A történet a Microsoft számára is fontos kérdéseket vet fel a biztonság kapcsán. Eddig a készülékgyártó hagyományosan megbízható partnernek számított, ezért az operációs rendszer egyes funkcióihoz preferenciális hozzáférést kapott. A fenti példában a WPBT gyakorlatilag hátsó ajtót nyitott az operációs rendszeren, amellyel a gyártó tetszése szerint bármit kezdhet, a Lenovo pedig ezzel masszívan vissza is élt. Lehetséges, hogy a jövőben a cégnek el kell gondolkodnia azon, hogy a gyártópartnereket a biztonság területén ne szövetségesnek, hanem potenciális támadónak tekintse.

Cikkünkhöz szerettük volna megszólaltatni a Lenovót is, de a vállalat hazai képviselete a többi laphoz hasonlóan minket is a korábban kiadott sajtóközleményhez irányított, melyben az érintett gépek részletes listája is megtalálható. A súlyos probléma a Think-márkás gépeket nem érinti, a konzumer eszközök között azonban több is megtalálható a listán.