Lenovo vgrajuje nezaželeno programsko opremo kar v BIOS

Lenovo se kar ne more otresti škandalov, v katere se zapleta zaradi sumljive in nepotrebne programske opreme, ki jo vključuje na svoje računalnike. Po aferi Superfish so najprej na forumih in kasneje tudi uradno odkrili nadležno programsko opremo na vseh računalnikih Lenovo, ki so izdelani med oktobrom 2014 in letošnjim aprilom.

Gre za LSE (Lenovo Service Engine) BIOS, ki ob vsakem zagonu računalnika poskrbi, da je programska oprema Lenovo naložena, četudi smo jo predhodno poizkušali (ali celo uspeli) odstraniti. Windows 8 in Windows 10 imata tako ali tako vgrajeno funkcionalnost, ki sestavljavcem računalnikov omogoča zapeči določene datoteke v firmware, potem pa jih računalnik pokliče pri vsakem zagonu prek wpbbin.exe. Na ta način je poskrbljeno, da jih uporabnik ne odstrani, četudi bi popolnoma izbrisal cel disk in naložil svežo verzijo Windows. V Windows 7 je Lenovo to dosegel tako, da se ob vsakem zagonu autochk.exe prepiše z njihovo verzijo, ki potem namesti LenovoUpdate.exe in LenovoCheck.exe.

LSE vsebuje OneKey Optimizer (OKO), ki naj bi izvajal optimizacije sistema, a sodi bolj v kategorijo crapware (reklami programi brez uporabne vrednosti). Programa sta ranljiva, o čemer je bil Lenovo že obveščen, in je skupaj z navodili za odstranitev to tudi priznal. Zamenjati je treba BIOS na računalniku. Poanta možnosti vgradnje programov v firmware je zaščita pred tatvino, saj se ta program vedno ponovno namesti in zažene. Ob vklopu internetne povezave preveri, ali je prijavljen kot ukraden in sporoči svojo lokacijo. LSE proizvajalcu pošlje podatke o sistemu, geografske podatke, čas in unikatno številko računalnika, če gre za namizni računalnik, za prenosne računalnike pa vključuje tudi omenjeni OKO.

V Lenovo so dejali, da so LSE umaknili maja in da so na njihovi spletni strani navodila za odstranitev.