Há alguns meses, a Lenovo se envolveu em uma polêmica por instalar o Superfish – malware que injeta anúncios no navegador – em alguns de seus laptops. A empresa se desculpou, e a Microsoft lançou uma ferramenta automática para removê-lo.

Agora, a Lenovo chama a atenção novamente por injetar arquivos no Windows mesmo se você fizer uma instalação limpa do sistema – tudo usando um recurso sancionado pela Microsoft.

Segundo o Ars Technica, os PCs afetados foram vendidos entre outubro de 2014 e abril deste ano, e a Lenovo lançou ferramentas para resolver o problema.

O The Next Web explica como tudo funciona: em certos computadores com Windows 7 ou 8, a BIOS analisa o programa autochk.exe – que acompanha o sistema – para ver se ele tem a assinatura da Lenovo. Se não tiver, a BIOS apaga o arquivo e o substitui pela versão da Lenovo.

Então, o autochk modificado roda na inicialização do sistema, e cria outros dois programas (LenovoUpdate.exe e LenovoCheck.exe), que ativam o serviço “Lenovo Service Engine” no Windows e baixam arquivos quando você se conecta à internet.

Em desktops, o LSE apenas envia para a Lenovo algumas informações sobre o sistema, como o modelo, ID, região e data, sem incluir dados pessoais do usuário.

Em laptops, no entanto, ele baixa o OneKey Optimizer, que é basicamente um crapware. Ele “atualiza o firmware, drivers e aplicativos pré-instalados”, o que pode ser uma manutenção útil, mas também possui funções questionáveis – ele realiza “otimizações” e “faz uma varredura por arquivos desnecessários”.

Problemas

Os usuários não pediram por este software, e não têm ideia de que ele persiste até em instalações limpas do Windows. Além disso, é muito difícil se livrar do Lenovo Service Engine, e ele tem falhas de segurança.

Pior: ele usa uma técnica que é sancionada pela Microsoft. A “Windows Platform Binary Table”, anunciada em 2011, permite que fabricantes injetem software a partir da BIOS para ser instalado no sistema, mesmo se você limpar o disco rígido e começar do zero.

O objetivo principal da WPBT é a instalação automática de software antirroubo. Mesmo se o ladrão formatar o disco e reinstalar o sistema operacional, o firmware pode restabelecer o software para avisar que o laptop foi roubado.

Usar este recurso para software antirroubo é sem dúvida desejável, porque o dono do PC escolheu fazer isso. Mas quando uma fabricante usa isso para instalar crapware, é um abuso – especialmente porque o LSE era ativado por padrão.

E em vez de oferecer mais segurança, o software da Lenovo tinha falhas. Em abril, o pesquisador Roel Schouwenberg alertou Lenovo e Microsoft sobre problemas como estouro de buffer e conexões a redes inseguras.

Como remover o LSE

Por isso, o Lenovo Service Engine deixou de ser incluso nos computadores. A empresa diz que os sistemas montados desde junho – incluindo os que vêm pré-instalados com Windows 10 – devem estar limpos.

Além disso, a Lenovo também passou a oferecer atualizações de firmware para os laptops afetados – baixe aqui – e instruções sobre como limpar os arquivos do LSE em desktops – confira aqui. Os PCs afetados estão na lista abaixo:

Notebooks:

Flex 2 Pro 15 (Broadwell/Haswell)

Flex 3 (1120/1470/1570)

G40-80/G50-80/G50-80 Touch

S41-70/U41-70

S435/M40-35

V3000

Y40-80

Yoga 3 11/14

Z41-70/Z51-70

Z70-80/G70-80

Desktops: A540/A740, B4030, B5030, B5035, B750, H3000, H3050, H5000, H5050, H5055, Horizon 2 27, Horizon 2e(Yoga Home 500), Horizon 2S, C260, C2005, C2030, C4005, C4030, C5030, X310(A78), X315(B85)

E, em julho, a Microsoft atualizou as exigências de segurança para o WPBT. Ela diz:

A Microsoft recomenda fortemente que o WPBT seja usado apenas para funções críticas em que a persistência seja um requisito fundamental… O proprietário autenticado do dispositivo deve ter a capacidade de desativar ou remover essa funcionalidade, se desejar.