Há alguns meses, a Lenovo se envolveu em uma polêmica por instalar o
Superfish – malware que injeta anúncios no navegador – em alguns de seus
laptops. A empresa se desculpou, e a Microsoft lançou uma ferramenta automática para removê-lo.
Agora, a Lenovo chama a atenção novamente por injetar arquivos no
Windows mesmo se você fizer uma instalação limpa do sistema – tudo
usando um recurso sancionado pela Microsoft.
Segundo o Ars Technica,
os PCs afetados foram vendidos entre outubro de 2014 e abril deste ano,
e a Lenovo lançou ferramentas para resolver o problema.
O The Next Web explica
como tudo funciona: em certos computadores com Windows 7 ou 8, a BIOS
analisa o programa autochk.exe – que acompanha o sistema – para ver se
ele tem a assinatura da Lenovo. Se não tiver, a BIOS apaga o arquivo e o substitui pela versão da Lenovo.
Então, o autochk modificado roda na inicialização do sistema, e cria
outros dois programas (LenovoUpdate.exe e LenovoCheck.exe), que ativam o
serviço “Lenovo Service Engine” no Windows e baixam arquivos quando
você se conecta à internet.
Em desktops, o LSE apenas envia para a Lenovo algumas informações
sobre o sistema, como o modelo, ID, região e data, sem incluir dados
pessoais do usuário.
Em laptops, no entanto, ele baixa o OneKey Optimizer, que é basicamente um crapware.
Ele “atualiza o firmware, drivers e aplicativos pré-instalados”, o que
pode ser uma manutenção útil, mas também possui funções questionáveis –
ele realiza “otimizações” e “faz uma varredura por arquivos
desnecessários”.
Problemas
Os usuários não pediram por este software, e não têm ideia de que ele
persiste até em instalações limpas do Windows. Além disso, é muito
difícil se livrar do Lenovo Service Engine, e ele tem falhas de
segurança.
Pior: ele usa uma técnica que é sancionada pela Microsoft. A “Windows
Platform Binary Table”, anunciada em 2011, permite que fabricantes
injetem software a partir da BIOS para ser instalado no sistema, mesmo
se você limpar o disco rígido e começar do zero.
O objetivo principal da WPBT é a instalação automática de software
antirroubo. Mesmo se o ladrão formatar o disco e reinstalar o sistema
operacional, o firmware pode restabelecer o software para avisar que o
laptop foi roubado.
Usar este recurso para software antirroubo é sem dúvida desejável,
porque o dono do PC escolheu fazer isso. Mas quando uma fabricante usa
isso para instalar crapware, é um abuso – especialmente porque o LSE era
ativado por padrão.
E em vez de oferecer mais segurança, o software da Lenovo tinha
falhas. Em abril, o pesquisador Roel Schouwenberg alertou Lenovo e
Microsoft sobre problemas como estouro de buffer e conexões a redes
inseguras.

Como remover o LSE
Por isso, o Lenovo Service Engine deixou de ser incluso nos
computadores. A empresa diz que os sistemas montados desde junho –
incluindo os que vêm pré-instalados com Windows 10 – devem estar limpos.
Além disso, a Lenovo também passou a oferecer atualizações de firmware para os laptops afetados – baixe aqui – e instruções sobre como limpar os arquivos do LSE em desktops – confira aqui. Os PCs afetados estão na lista abaixo:
Notebooks:
Flex 2 Pro 15 (Broadwell/Haswell)
Flex 3 (1120/1470/1570)
G40-80/G50-80/G50-80 Touch
S41-70/U41-70
S435/M40-35
V3000
Y40-80
Yoga 3 11/14
Z41-70/Z51-70
Z70-80/G70-80
Desktops: A540/A740, B4030, B5030, B5035, B750,
H3000, H3050, H5000, H5050, H5055, Horizon 2 27, Horizon 2e(Yoga Home
500), Horizon 2S, C260, C2005, C2030, C4005, C4030, C5030, X310(A78),
X315(B85)
E, em julho, a Microsoft atualizou as exigências de segurança para o WPBT. Ela diz:
A Microsoft recomenda fortemente que o WPBT seja usado
apenas para funções críticas em que a persistência seja um requisito
fundamental… O proprietário autenticado do dispositivo deve ter a
capacidade de desativar ou remover essa funcionalidade, se desejar.
Mesmo assim, esta é uma revelação preocupante. Outras fabricantes
poderiam estar usando essa técnica sem o conhecimento dos usuários –
algo que não está claro no momento – e nem mesmo uma instalação limpa do
Windows estaria a salvo de crapware.
Fonte: Gizmodo