Lenovo haalt rootkit weg uit bios meerdere laptopmodellen

Lenovo heeft zijn eigen rootkit uit de bios gehaald van 13 verschillende laptops, zoals de Flex-, Yoga- en IdeaPad-modellen. De kit zorgde ervoor dat gebruikers op schone Windows-installaties meldingen kregen waarin Lenovo de aanbeveling deed om OneKey-software te installeren.

De bios van Lenovo controleerde bij het opstarten van de laptops of het bestand C:\Windows\system32\autochk.exe Lenovo's versie was of die van Microsoft. Als het die van Microsoft was, dan werd deze vervangen door die van Lenovo. Dit bestand start vervolgens enkele services op die van het internet gebruik maken om de gebruikers aan te bevelen om Lenovo's OneKey-software te downloaden en om bepaalde gebruikersgegevens te versturen naar het Chinese bedrijf. Dit gebeurde via een onversleutelde verbinding.

Microsoft keurt het gebruik van deze techniek goed, zo blijkt uit een document van het Redmondse bedrijf. Daarin staat echter dat de functionaliteit bedoeld is voor de automatische installatie van software die essentieel is voor het functioneren van het apparaat in kwestie. Hoewel Lenovo OneKey een programma is dat gebruikers helpt bij bijvoorbeeld een herinstallatie van Windows, is de software in de meest strikte zin van het woord niet essentieel voor het functioneren van de computers.

De rootkit werd onder andere blootgelegd door Ars Technica-forumgebruiker ge814, op 3 augustus. Diezelfde dag verscheen een bios-update voor 13 verschillende laptop-modellen van Lenovo op de website. Een andere gebruiker van Lenovo stelde hierover in april al vragen over op het officiële forum, wat suggereert dat de rootkit maandenlang in de laptops heeft gezeten, zo niet vanaf het begin al. The Next Web schrijft ook dat meerdere desktopmodellen van Lenovo de rootkit aan boord zouden hebben. De update die Lenovo gepubliceerd heeft, wordt niet automatisch verspreid. Gebruikers moeten deze zelf downloaden en installeren. Lenovo stelt zelf dat de update gepubliceerd wordt vanwege een kwetsbaarheid in de rootkit.

Eerder dit jaar kwam Lenovo in opspraak vanwege het meeleveren van de SuperFish-adware op zijn pc's. Daaropvolgend verwijderde het bedrijf de adware van zijn systemen en beloofde voortaan 'schone en veilige pc's' te gaan leveren.

Reacties (104)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

12 augustus 2015 12:51

Wat ik vooral schokkend vind, naast de aanwezigheid van deze malware, is dat dit pas wordt verwijderd nadat gebruikers veelvuldig klagen en de aanwezigheid van deze rootkit achtige functionaliteit aan het licht brengen. Men heeft niet zelf de conclusie getrokken dat deze aanpak niet wenselijk is.

Daarnaast is het versturen van gegevens zonder dat de gebruiker dit weet (via een onbeveiligde verbinding ook nog!) natuurlijk ook schandalig.

Als je een te misbruiken lek in dit soort software vindt heb je de poppen helemaal aan het dansen. Je kunt dan zaken injecteren en mogelijk onderscheppen zonder dat de gebruiker hier invloed op heeft. Bovendien kun je op deze manier een herstart maar ook zelfs een schone installatie overleven als malware. Zeer gevaarlijk!

[Reactie gewijzigd door Bor op 28 juli 2024 07:36]

R4gnax @Bor • 12 augustus 2015 13:20

Daarnaast is het versturen van gegevens zonder dat de gebruiker dit weet (via een onbeveiligde verbinding ook nog!) natuurlijk ook schandalig.

Schandalig? Probeer eens: crimineel.

CivLord

@R4gnax • 12 augustus 2015 15:22

Wanneer je de tijd had genomen om de volledige gebruiksvoorwaarden en aanvullende informatie te lezen, had je het waarschijnlijk wel geweten. (Niet dat Lenovo er vanuit gaat dat die gebruiksvoorwaarden ooit door de gemiddelde gebruiker gelezen worden natuurlijk.)

Kefke @CivLord • 12 augustus 2015 18:28

En krijg ik deze volledige gebruiksvoorwaarden en aanvullende informatie te lezen voordat ik mijn Lenovo laptop koop, of pas wanneer ik hem al betaald heb en hem voor de eerste keer opstart?

Wat is de volgende stap? In de EULA opnemen dat 'de gebruiker van deze laptop via een rootkit elke maand 200 € overschrijft naar Lenovo'?

Lenovo staat voor mij nu op de zwarte lijst, djeezes, wat een zooi, en komt niet af met het belachelijke excuus dat je er vanaf kan geraken door Windows te herinstalleren, want dat is hier dus niet het geval en zou eigenlijk niet nodig hoeven te zijn.

BoringDay @CivLord • 12 augustus 2015 18:57

Onbegrijpelijke gebruikersvoorwaarden voor de consument.
Alsof je nadat je een laptop hebt gekocht ermee terug gaat?

Gewoon verbieden dit soort acties evenals die onnozele gebruikersvoorwaarden.
Het moet juist andersom zijn 'respecteren van privacy'

R4gnax @CivLord • 12 augustus 2015 20:13

Wanneer je de tijd had genomen om de volledige gebruiksvoorwaarden en aanvullende informatie te lezen, had je het waarschijnlijk wel geweten. (Niet dat Lenovo er vanuit gaat dat die gebruiksvoorwaarden ooit door de gemiddelde gebruiker gelezen worden natuurlijk.)

En wanneer jij de tijd had genomen om de wetgeving en EU richtlijnen omtrend privacy en gebruikersgegevens te lezen, had je waarschijnlijk wel geweten dat voor het uitlezen en doorsturen van welk een (gebruikers)gegevens dan ook die niet absoluut noodzakelijk zijn voor het correct functioneren van de hoofdfunctionaliteit van een stuk software, er een eenduidige en expliciete toestemming vooraf van de gebruiker nodig is, waarbij deze vraag niet diep begraven in een pak algemene voorwaarden mag zitten.

Dat valt dus ook onder het kopje van wat colloquiaal de 'cookie wetgeving' genoemd wordt...

[Reactie gewijzigd door R4gnax op 28 juli 2024 07:36]

tweaknico @Bor • 12 augustus 2015 16:22

Naast dit akkevietje zit er nog meer in de BIOS.
AMT (Active Management Toolkit) https://fsf.org/blogs/community/active-management-technology
een soort beheer op afstand module ingebakken in de CPU Chip + BIOS.

Dit is mogelijk een beter alternatief:
https://www.fsf.org/news/...d-to-respect-your-freedom

Juup @tweaknico • 12 augustus 2015 17:21

Dit is wel volledig ongerelateerd aan het Lenovo probleem.
Intel biedt al jaren tegen een meerprijs onder het vPro label beheertools aan zoals AMT.

Als je dat niet wilt, koop dan een moederbord OF een processor (beide zijn nodig om het te laten werken) zonder deze meuk.

BoringDay @Juup • 12 augustus 2015 19:00

Ook al wil je het niet, hoe moet ik daarvan op de hoogte zijn? laat staan voor de minder gespecialiseerde gebruikers. Slappe excuses en drogredenen praten dat niet goed.

Juup @BoringDay • 12 augustus 2015 19:08

Ook al wil je het niet, hoe moet ik daarvan op de hoogte zijn?

Door je in te lezen in de materie.

Slappe excuses en drogredenen praten dat niet goed.

Welke excuses?
Welke drogredenen?

BoringDay @Juup • 12 augustus 2015 19:12

Alsof die informatie in de krant komt te staan!
Dat wordt helemaal niet algemeen bekend gemaakt.

'Door je in te lezen in de materie' , dat is bijvoorbeeld een slap excuus/drogreden.

Het staat namelijk nergens vermeld, de verkoper stelt je evenmin op de hoogte ervan (kans is groot dat die zelf ook van niks weet).

Een computer hoort schoon geleverd te worden.

Juup @BoringDay • 12 augustus 2015 22:37

Intel's AMT heeft helemaal niets met schoon te maken.
Het is een feature die uitstekend werkt voor waar die voor bedoeld is (op afstand servers beheren, rebooten etc zonder een aparte netwerkaansluiting aan te hoeven leggen).

Dit in tegenstelling tot die Lenovo rootkit onzin, die is nergens goed voor.

tweaknico @Juup • 14 augustus 2015 12:38

Dat is jouw visie...

Een server op afstand via een achterdeur bereiken lijkt mij waardeloze functionaliteit, zeker voor een laptop.
(X-200, X60 zijn laptops geen servers).

Terwijl Lenovo de rootkit wel handig vond, anders hadden ze die er niet ingebouwd.

To_Tall

@BoringDay • 13 augustus 2015 01:04

1 op oudere PC's staat dat het apparaat Vpro bevat (sticker)
2 een gemiddelde gebruiker weet net zo veel van de instructie sets die op de proc is gebakken als van alle andere details..

Wist je trouwens dat MS sowieso een eigen user account op alle windows PC's heeft staan? Waardoor net zoals AMT of VPro engineers vanaf afstand toegang tot de PC zou kunnen krijgen!!

Jij geeft aan MS gewoon een ID van de PC op.. die tikken zij in. en Hoppa Admin rechten op je PC..

BoringDay @To_Tall • 13 augustus 2015 19:16

1 - Vpro sticker zegt me totaal niks, bovendien nog nooit gezien bij aankoop van een computer
2 - Denk je nu werkelijk men zich gaat bezig houden met instructie sets?

Misschien voor computer vriendjes onderling dat het werkt , daar zal het ook snel ophouden.

[Reactie gewijzigd door BoringDay op 28 juli 2024 07:36]

tweaknico @Juup • 14 augustus 2015 12:59

Ik bouw inderdaad al jaren m'n eigen systemen op basis van AMD processoren die hier een stuk minder last van hebben.

invic @tweaknico • 12 augustus 2015 22:19

Dit vind ik geen "akkefietje"! Dit is bewuste spionage van Lenovo (wellicht aangepspoord door de chineses overheid). Ik zou zeggen NOOIT meer Lenovo vertrouwen en kopen. Ik vraag me af of in niet meer Chinese producten verborgen malware zitten. Zie eerder bericht over Huawei modems van 10 aug.

tweaknico @invic • 14 augustus 2015 12:41

Als je geen Chinese IT producten meer wil kopen ga je een uitdaging kijrgen vrijwel alle fabrieken staan in China, ook die van HP en DELL.
Ook alle Apple producten worden in China gemaakt.

En alle windows systemen hebben een rootkit, genaamd Windows Update.
Je kunt stellen dat Microsoft het grootste botnet ter wereld runt.

[Reactie gewijzigd door tweaknico op 28 juli 2024 07:36]

Only5left @Bor • 12 augustus 2015 12:57

"Men heeft niet zelf de conclusie getrokken dat deze aanpak niet wenselijk is"
Bedoel je hierbij met "men" Lenovo? Het feit dat de rootkit er überhaupt is, samen met de SuperFish malware die op enkele modellen aanwezig was, laat volgens mij wel zien dat ze zich daar niet veel aantrekken van gebruikers en de aanpak juist wenselijk vinden

sdk1985 @Bor • 12 augustus 2015 19:13

Wat ik vooral schokkend vind, naast de aanwezigheid van deze malware, is dat dit pas wordt verwijderd nadat gebruikers veelvuldig klagen en de aanwezigheid van deze rootkit achtige functionaliteit aan het licht brengen. Men heeft niet zelf de conclusie getrokken dat deze aanpak niet wenselijk is.

Dat is toch niet meer dan logisch op het moment dat er in de eerste plaats besloten is om een dergelijke root kit te implementeren... Het is niet alsof je per ongeluk een dergelijke rootkit in al je bios'en aan het flashen bent... Het is een bewuste en doordachte actie. Het is eerder logisch dat Lenovo er pas iets aan doet na ophef in plaats van schokkend.

Natuurlijk is het wel triest dat deze beslissing überhaupt is genomen.

MediQ 12 augustus 2015 12:57

Het vervangen van autochk.exe lijkt alleen op Windows 7 plaats te vinden en is mogelijk specifiek door Lenovo gebruikt/misbruikt, zoals genoemd in de thread op het arstechnica forum, waarnaar gelinkt wordt in het artikel. Aangezien Microsoft deze zogenoemde Windows Platform Binary Table functie aanbiedt voor Windows 8 en later, is het gebruik van deze functie niet per se beperkt tot Lenovo's computers. Volgens dezelfde forum thread kan je op de volgende manier checken of je computer vendor gebruik maakt van deze 'feature':

Check your event log for "Microsoft-Windows-Subsys-SMSS" and if you see "A platform binary was successfully executed." your PC vendor is doing this. Or, look for a file called wpbbin.exe in windows\system32. (This file would ONLY exist if Windows found it in your firmware and ran it.)

RobinJ1995

12 augustus 2015 13:08

En nog steeds kopen mensen Lenovo-toestellen... Wat mij betreft hebben ze bewezen tot wat ze in staat zijn, en is het een schande dat ze hier niet zwaar voor beboet worden.

Verwijderd @RobinJ1995 • 12 augustus 2015 13:18

Helemaal schandalig om te zien dat Lenovo wordt aangeprezen door nota bene Tweakers.net in de laatste twee Best Buy Guide: reviews: Laptop Best Buy Guide - Augustus 2015 en reviews: Laptop Best Buy Guide - Juni 2015

Dus ja wat valt de consument te verwijten als zelfs technologie websites een bewezen dubieus merk als Lenovo aanprijst? Blijkbaar is het nu eenmaal de gang van zaken dat fabrikanten troep installeren. Dat is ook wel zo, alleen in deze mate is een stap te ver.

Hertog_Martin @Verwijderd • 12 augustus 2015 14:21

Heb zelf een Lenovo B590 gekocht vanwege dat ie steeds terug kwam in de Best Buy guides.

Spijt van. Continu WiFi problemen die niet op te lossen zijn (moet tig keer per dag reconnecten) en inderdaad gare software van Lenovo zelf.

De laptop is niet geheel slecht, het matte scherm is fijn voor buiten en het toetsenbord is goed. Verder was ie ook onbruikbaar traag, pas na plaatsen SSD werkt ie fijn, maar dat is een uitgave van 120 euro op een laptop van 400 euro. En het WiFi probleem is gewoon onaanvaardbaar voor een laptop.

Bathing Aap @Hertog_Martin • 12 augustus 2015 14:54

WiFi probleem is bekend bij de oude versie van de driver. Een update (optioneel in Windows Update dacht ik) heeft dit allang verholpen, spreek uit eigen ervaring.

Alternatief voor het plaatsen van SSD is het gebruikmaken van het lege mSATA slot in deze laptop en hierin een cachedrive te plaatsen. Dit heeft mijn laptop voor maar een paar tientjes een stuk sneller gemaakt.

Hertog_Martin @Bathing Aap • 12 augustus 2015 18:38

Alle mogelijke drivers en bios updates geprobeerd.

Zal nog even bij Windows update kijken, want nadat de laptop na eerdere Windows updates helemaal niet meer kon opstarten update ik niet meer automatisch.

[Reactie gewijzigd door Hertog_Martin op 28 juli 2024 07:36]

page404 @Hertog_Martin • 12 augustus 2015 15:17

Ik vraag me toch altijd af wat je moet verwachten van een laptop van 400€. Enerzijds kun je op je vingers natellen dat er ernstig bezuinigd moet worden op de componenten in die prijsklasse, wat de kwaliteit niet ten goede zal komen en daarmee de algehele prestaties en stabiliteit.
Secundair effect is dat fabrikanten van deze budgetlaptops toch op zoek moeten naar alternatieve inkomstenbronnen in de "race to the bottom" markt. Dat gebeurt al jaren met bloatware, maar het lijkt erop dat de strijd tussen fabrikanten en de consument (die die extra software ) niet wil, steeds grimmiger wordt. Zie hier het resultaat.

Frank71 @page404 • 13 augustus 2015 08:47

En deze alternatieve inkomstenbronnen zijn mogelijk vanwege UEFI? In een laptop uit 2010 kan UEFI nog uitgezet worden, maar dan kan je dus niet meer vanaf een GPT-schijf booten en mis je het snelle opstarten.
Kan UEFI nog uitgezet worden in de nieuwe laptops?

kimborntobewild @Verwijderd • 12 augustus 2015 14:11

Dus ja wat valt de consument te verwijten als zelfs technologie websites een bewezen dubieus merk als Lenovo aanprijst?

Ik verwacht niet dat andere fabrikanten niet gelijkaardige malware-fouten maken. Bij Dell bijv. zaten er lekken in de software die voor je detecteert welke drivers je nodig hebt. Als je alles onder een vergrootglas legt, denk ik niet dat er nog een fabrikant overblijft die - qua veiligheid - foutloos bezig is.

ColonelPhantom @kimborntobewild • 12 augustus 2015 15:36

Dell maakte een foutje (toegegeven, wel een flinke) terwijl Lenovo gewoon opzettelijk de consument keihard naait. Dat is wel een verschil, per ongeluk of expres

tweaknico @ColonelPhantom • 14 augustus 2015 13:07

waarom is het bij dell een foutje, en bij lenovo niet?
beide fabrikanten weten van voren niet meer wat er van achteren geleverd wordt.
Tussen design en Verkoop zit marketing en die passen het design met wat "onschuldige" extra's aan.
En maak je geen illusies, ik ben bij elke fabrikant bloatware tegen gekomen.
en je kunt je afvragen of die goed onderzocht worden, ze worden minimaal gestart in het account dat ook de installaties en updates uitvoert....

thegve @kimborntobewild • 12 augustus 2015 14:38

Verschil is alleen wel dat dit niet bepaald een 'foutje' is. Dit is gewoon keihard bewust niet verwijderbare spyware meeleveren af fabriek.
Dat fabrikanten fouten maken is onvermijdelijk, hopelijk leren ze hier dan weer van en word het daarna beter.
Dit komt voor mij ook wel zo'n beetje in de categorie 'onvergeeflijk', zeker omdat alle merken op hardware/prijs gebied zo dicht bij elkaar liggen. Als ik voor 1 prijs kan kiezen tussen een Lenovo en een ander merk weet ik het wel..

Mrjraider @Verwijderd • 12 augustus 2015 13:31

Eens; maar je dient wel verder te kijken als de Software in dit geval. Volgens mij maakt Lenovo (geen ervaring mee) vrij degelijke laptops

Flaat @Verwijderd • 12 augustus 2015 17:03

Ook is de titel van het articel behoorlijk genadig tegenover lenovo. De titel had ook in de richting kunnen liggen van: "lenovo levert rootkit mee het bios in het van laptops" om dan later te vertellen dat ze nu verwijdert zijn in plaats van andersom.

BoringDay @Verwijderd • 12 augustus 2015 19:03

Consumenten kunnen beter hun geld terug eisen, je mag toch achten dat die dingen veilig zijn en zonder troep geleverd worden.

Blokker_1999

Beveiliging en antivirus

@RobinJ1995 • 12 augustus 2015 14:03

Men overtreed geen enkele wetgeving of licentie. Hoe ga je hen beboeten? Je kan evengoed MS gaan aanklagen voor het bieden van die functionaliteit (want het is uiteindelijk MS die het mogelijk maakt).

En ja, ik blijf een Lenovo gebruiker, tot op heden zie je dit soort dingen niet op de ThinkPad toestellen.

kimborntobewild @Blokker_1999 • 12 augustus 2015 14:14

Men overtreed geen enkele wetgeving of licentie.

't Is anders maar de vraag of Lenovo zonder eerst duidelijk en nadrukkelijk toestemming te vragen, je gegevens mag doorsturen naar Lenovo.
En als dat wel mag, dan deugt volgens mij simpelweg de wetgeving (nog) niet.

Je kan evengoed MS gaan aanklagen voor het bieden van die functionaliteit (want het is uiteindelijk MS die het mogelijk maakt).

Dat lijkt me niet. Je kan ook niet de overheid aanklagen voor 't aanleggen van een weg waar vervolgens mensen dronken overheen kunnen rijden.
Je kan ook niet (tenminste als je eenmaal 18 bent) ouders aanklagen voor iets wat de kinderen doen, ook al zijn zijn het volgens jouw redenering het de die ouders die het mogelijk hebben gemaakt dat hun kinderen misdaden plegen (want als je geen kinderen maakt, kunnen ze ook geen misdaden plegen).

[Reactie gewijzigd door kimborntobewild op 28 juli 2024 07:36]

Jelle_D @kimborntobewild • 12 augustus 2015 15:34

't Is anders maar de vraag of Lenovo zonder eerst duidelijk en nadrukkelijk toestemming te vragen, je gegevens mag doorsturen naar Lenovo.
En als dat wel mag, dan deugt volgens mij simpelweg de wetgeving (nog) niet.

Lees de algemene voorwaarde daar staat het vast in.
Dat valt voor mij onder het kopje duidelijk.

Dat mensen die niet lezen in niet het probleem van Lenovo of een andere fabrikant.

kimborntobewild @Jelle_D • 16 augustus 2015 20:36

Algemene voorwaarden zijn allesbehalve duidelijk. Tegen de tijd dat je ze semantisch gezien een beetje door hebt, zijn er alweer nieuwe voowaarden of zijn er intussen alweer -tig andere bedrijven waarvan je intussen de voorwaarden van hebt moeten bestuderen voordat je weet wat je kan verwachten.
Nee. Wil het onder 'duidelijk en nadrukkelijk' vallen, dan moet het bedrijf een seintje geven vlak voordat je gegevens worden verzonden. En ook wèlke gegevens precies. En ook moet je dan de keuze krijgen ze niet te verzenden. Ook moet je te horen krijgen hoe lang je gegevens worden bewaard, en of ze bijv. vernietigd worden voordat er bijv. een vijandige overname van het bedrijf plaatsvindt.

Only5left @RobinJ1995 • 12 augustus 2015 13:11

Maar die Lenovo dingen zijn wel heel mooi hoor, niet gek dat mensen die blijven kopen

.
Over de boete, gezien MS het toestaat zal er vast juridisch gezien niets fout aan zijn, ik denk niet dat MS zelf boetes wil riskeren.

Edit: opmaak

[Reactie gewijzigd door Only5left op 28 juli 2024 07:36]

R4gnax @Only5left • 12 augustus 2015 13:36

Over de boete, gezien MS het toestaat zal er vast juridisch gezien niets fout aan zijn, ik denk niet dat MS zelf boetes wil riskeren.

Er is niets mis met deze functionaliteit gebruiken om te garanderen dat drivers of services die essentieel zijn voor correct gebruik van een systeem op deze manier toegevoegd worden. Daarmee voorkom je knap knullige situaties zoals dat na het herinstalleren van Windows je laptop keyboard en trackpad het niet meer doen omdat de custom driver of service er nog niet opstaat.

Waar wel alles mee mis is, is deze functionalieit gebruiken om een essentieel systeem bestand van Windows te overschrijven met een versie die een extra payload bevat die bij opstarten een nagware / adware popup toont voor niet-essentiële software en daarnaast zich ook nog eens als spyware gedraagt door onaangekondigd en ongevraagd terug naar huis belt met een niet nader gedefinieerde set gebruikersgegevens en dit op zo'n manier doet (via een onbeveiligde verbinding) dat iedereen mee kan luisteren.

[Reactie gewijzigd door R4gnax op 28 juli 2024 07:36]

Blokker_1999

Beveiliging en antivirus

@R4gnax • 12 augustus 2015 14:07

Dus jij vind het wel in orde dat men in de achtergrond drivers gaat (proberen) te downloaden met eventueel alle rommel die daarbij hoort, maar een tool om eenvoudig backups te maken mag dan weer niet? Waar leg je de grens?

Dat de software systematisch naar huis zou bellen zie ik niet in het artikel staan en zonder te weten welke data er effectief verstuurd word kan je ook niet zomaar oordelen over privacy inbreuk.

mrdemc @Blokker_1999 • 12 augustus 2015 14:41

De grens is door Microsoft aangegeven en staat ook in t artikel. Alleen essentieel. Dat betekent niets anders als; computer werkt niet zonder. Bijv. Drivers voor de SATA/RAID controller tijdens een windowsinstallatie zou een goede optie zijn omdat je zonder geen installatie kan doen. Of een videokaart driver omdat je geen onboard aansluiting hebt maar alleen een videokaart die >1080px wil weergeven terwijl de vesadriver bijv. Max 1024 geeft waardoor je geen beeld krijgt. Dat zijn dingen waarvoor het handig zou zijn. Niet om te spioneren of eigen software te pushen...

MadEgg @mrdemc • 12 augustus 2015 22:50

Daarvoor regel je maar een USB-stickje, werkt prima. Opslag ergens in het UEFI voor wat essentiële drivers is tot daar aan toe, maar automatische installatie is een stap verder, en wat mij betreft een stap te ver. Je zou bij het detecteren van niet-ondersteunde hardware kunnen aanbieden om te zoeken naar een driver in het UEFI, en vervolgens dit aan de gebruiker te tonen als: "Voor dit apparaat is de volgende driver met versie x.yy.zz gevonden: Graphische adapter (ABC123). Wilt u deze installeren?". Iedereen blij; er wordt automatisch een goede driver aanbevolen en je hebt als gebruiker de keuze om deze wel of niet te installeren. Er gebeurt niets achter je rug om.

Maar schijnbaar moet alles automatisch aangezien Microsoft en PC-boeren als Lenovo schijnbaar denken dat de beheerders van de apparaten van hun klanten te stom zijn om fatsoenlijk systeembeheer te doen.

mugenmarco 12 augustus 2015 12:46

Heel goed, alleen dit hadden ze best eerder mogen doen gezien al enige tijd bekend is dat Lenovo deze issue heeft.

Verder vraag ik mij af of (en zo ja, hoeveel) ze een boete krijgen hiervoor, ze hebben dit er namelijk bewust in gestopt.

Bosmonster @mugenmarco • 12 augustus 2015 12:50

Boete? Waarvoor?

Het is netjes dat ze het eruithalen, maar het is niks illegaals natuurlijk.

Powergrim @Bosmonster • 12 augustus 2015 12:53

Hoe illegaal is het dat gegevens worden doorgestuurd zonder dat de consument dit weet en akkoord mee is gegaan? Volgens mij wil het CPB daar best wat van vinden.

CivLord

@Powergrim • 12 augustus 2015 15:14

Het zal vast wel ergens in de kleine lettertjes van de gebruiksvoorwaarden hebben gestaan dat je bij gebruik van de laptop automatisch instemt met het gedrag van de rootkit. Dit soort bedrijven dekt zich meestal wel goed in.

Powergrim @CivLord • 12 augustus 2015 15:18

En dan is het weer de vraag of de gebruiksvoorwaarden rechtsgeldig zijn. Daar schort meestal ook wel het ene en ander aan. Ik kan me niet voorstellen dat wat Lenovo hier doet geheel binnen de wet valt. Er zijn vast grijze of misschien wel zwarte gebieden.

Verwijderd @Bosmonster • 12 augustus 2015 13:27

De installatie van rootkits wordt geregeld in de Wet Computercriminaliteit. Het is dus zeker strafbaar, tenminste wanneer de gestelde eisen voor strafbaarstelling worden vervuld. Het ongevraagd verzenden van gebruiksgegevens ook nog eens over een onbeveiligde verbinding daar zal vast ook een artikel bij horen.

Wildfire

@Verwijderd • 12 augustus 2015 14:05

Het maakt in het kader van die wet natuurlijk wel uit dat deze 'rootkit' geen criminele achtergrond heeft.

(niet dat ik het goedkeur, verre van dat)

thegve @Wildfire • 12 augustus 2015 14:45

Het is een commerciële instelling toch? Ze zullen vast geen web services gaan opzetten en dit soort dingen bedenken als ze daar geen geld mee verdienen.
Dus ze versturen informatie van je systeem om daar geld mee te verdienen.
Precies hetzelfde doet een creditcard fraudeur ook, informatie versturen van je systeem om daar geld mee te verdienen.
Principe blijft gelijk. Afblijven, is niet van jou.

mugenmarco @Bosmonster • 12 augustus 2015 12:53

ze hebben bewust iets erin "gestopt" zonder aan te geven dat ze dit hebben gedaan, de users moesten hier zelf achter komen (zie artikel) en in mijn ogen is Lenovo daarom schuldig.

botoo

@mugenmarco • 12 augustus 2015 13:40

Ergens schuldig aan zijn betekent niet dat er een strafbaar feit is gepleegd. Lenovo geeft alleen te kennen dat hun producten niet te vertrouwen zijn en dat zal z'n weerslag wel vinden in de verkopen.

Voor mij heeft Lenovo al afgedaan na het Superfish festijn, een bedrijf dat niet te vertrouwen is zal ook niet te vertrouwen zijn nadat ze betrapt zijn.

!mark 12 augustus 2015 12:55

Wat mij betreft dienen Hardware/UEFI afzonderlijk te blijven van de software die op de HDD/SDD draait.

Als dit soort praktijken al gedoogt worden door MS zelf dan mogen/kunnen OEMs dus automatisch hun bloatware installeren op een clean-install, dat deze functie alleen voor essentiële functionaliteit is kan door OEMs natuurlijk heel ruim genomen worden(als ze van mening zijn dat hun Bloatware "Essentieel" is voor de user-experience)

churchill9 @!mark • 12 augustus 2015 13:04

En als ze dat netjes aangeven moeten ze dat ook kunnen doen.

Als genoeg mensen het irritant vinden kopen ze het product niet meer, wat het merk niet ten goede zal komen.

FreezeXJ @!mark • 12 augustus 2015 14:14

Het idee van UEFI is nou net dat het uitstekend met software samenwerkt, en je er dus on the fly nieuwe dingen in kunt zetten. Daarvoor heeft je CPU ook z'n System Management Mode, die puur software is. Allemaal kunnen ze door andere software (rootkits, virussen of legale tools) aangepast worden.
Als je lastig aanpasbaar spul wilt moet je naar het oude BIOS, en zelfs die werden steeds makkelijker beinvloedbaar (ooit alleen flashable met UV-licht, tegenwoordig al vanuit Windows te overschrijven)...

Mrjraider 12 augustus 2015 12:48

Snap persoonlijk niet waarom MS dit goedkeurt. Een rootkit wordt onder vrijwel alle omstandigheden gezien als malware en dus ongewenst. Lenovo had wel even beter mogen nadenken

FreezeXJ @Mrjraider • 12 augustus 2015 12:54

Wat is het verschil tussen automagische updates (die Windows zelf ook gebruikt) en dit soort dingen? Het is een rootkit-met-toestemming, ook wel bekend als een 'handige feature'. Je computer doet wel meer dingen achter je rug om, en het enige echt slordige hieraan is dat het over onbeveiligde verbindingen gaat... Voor de rest is het reclame, waar je ongetwijfeld mee akkoord gegaan bent tijdens het klikken op "I Agree" onderaan die lap tekst die je nooit gelezen hebt...

Mrjraider @FreezeXJ • 12 augustus 2015 13:10

Eens maar er zijn grenzen en dit vind ik wel wat te ver gaan. De post van Bor past hier dan ook perfect bij: Bor in 'nieuws: Lenovo haalt rootkit weg uit bios meerdere laptopmodellen'

thegve @FreezeXJ • 12 augustus 2015 14:52

Wat is ook het verschil tussen deze dingen en de service die je harde schijf aanstuurt ( I/O ).

- Windows updates verbergen zich niet
- Automatische updates kan je gewoon uitschakelen (keuze gebruiker)
- Aan de kritiek op Windows 10 te lezen, moet het zelf nog testen, gaat MS daar inderdaad ook links/rechts verkeerd op privacy gebied.

Je lijkt niet helemaal te begrijpen wat een rootkit is. Het is helaas al lang zo dat fabrikanten allerlei obscure meuk, en af en toe regelrechte malware, meeleveren met een nieuw systeem. Rootkits hebben als kenmerk dat ze zich verbergen voor het OS en hierdoor voor de gebruiker niet eenvoudig uit te schakelen zijn. Toch wel een verschil met reguliere mal-/adware.

FreezeXJ @thegve • 12 augustus 2015 15:49

Reguliere rotzooi krijgt amper permissions, en probeer eens een windows-service uit te schakelen... bij 9 van de 10 mag dat ook niet

Automagische updates, prima, maar ook de notificatie dat er een nieuwe update is wordt lekker gepushed... dus wat je je bespaart is het dataverbruik...

thegve @FreezeXJ • 13 augustus 2015 00:13

Het 'amper permissions' hangt dan weer af van je definitie van 'rotzooi', want geregeld zit/zat er ook vage back-up software en dergelijke bij in een trial versie van 30 dagen maar die bij verwijderen nog allerlei sporen achterlaat of instabiliteit.
OS update notificaties zijn gewoon wel belangrijk in tegenstelling tot dit soort meuk, dus de discussie gaat wat dat betreft sowieso al nergens over. Maar ook de notificaties kan je gewoon, met wat meer moeite, uitschakelen. Ik gebruik zelf geen Windows moet ik bekennen maar weet wel ongeveer hoe het in elkaar zit, en er is een Windows update service (back-end) die je kunt uitschakelen en een front-end proces die de pop-ups geeft. Dat wil je niet, tenzij je daar hele gegronde redenen/alternatieven voor hebt, maar het kan wel, en je kan het sowieso zien.
Alle Windows-services kan je zien, als ze als 'essentieel systeemproces' draaien kan je ze soms niet uitschakelen, maar alsnog zien, en dan zou je bijvoorbeeld via een live-cd kunnen booten en de executable verwijderen. Bij deze rootkit gaat dat dus niet werken want die word gewoon teruggezet.

Devaqto 12 augustus 2015 12:53

Om dit nou direct onder rootkit te categoriseren vind ik overdreven, technisch gezien is dit ook zo. Dat fabrikanten zoals Lenovo dit erin knutselen vind ik vanuit hun perspectief wel normaal, je wilt immers dat je producten zo goed mogelijk functioneren bij de consument.

Dan ga ik er verder niet op in wat voor software er wordt geinstalleerd, ik zou zeggen software voor hotkeys, essentiele drivers of recovery tools zijn voor mij wel welkom. Deze hebben namelijk impact op de gebruikerservaring

Als er een miner in geprutst zou zijn, zou het leuk worden

Woy Moderator PRG/SEA @Devaqto • 12 augustus 2015 13:01

Die functionaliteit kunnen ze gewoon aanbieden door de software in hun eigen image te stoppen, en voor pro- gebruikers die zelf windows installeren kunnen ze de drivers/applicaties aanbieden op hun site, waarna gebruikers zelf kunnen kiezen of ze het willen gebruiken of niet.

Ik zie geen enkele reden waarom er dit soort rootkits in de Bios verstopt moeten worden.

Het is natuurlijk een goed recht van Lenovo om dit te doen, maar ze moeten ook niet gek opkijken als daarmee gebruikers weglopen. ( Als bedrijf zou ik immers niet blij zijn met deze ongeauthorizeerde software )

[Reactie gewijzigd door Woy op 28 juli 2024 07:36]

Blokker_1999

Beveiliging en antivirus

@Woy • 12 augustus 2015 14:08

Alleen heb je niets aan een eigen image wanneer je geen recovery media meer meeleverd en de meeste mensen vandaag de dag gewoon een clean install doen. Hebben ze ineens een button op hun laptop die niets doet als je er op duwt.

Ik zie evenwel ook geen enkele reden om dit in het BIOS te plaatsen en vind het dan ook spijtig dat MS dit in de achtergrond toestaat.

Woy Moderator PRG/SEA @Blokker_1999 • 12 augustus 2015 14:51

Alleen heb je niets aan een eigen image wanneer je geen recovery media meer meeleverd en de meeste mensen vandaag de dag gewoon een clean install doen. Hebben ze ineens een button op hun laptop die niets doet als je er op duwt.

Zo goed als alle laptops hebben gewoon een recovery partitie, die eenvoudig te gebruiken is om een Factory reset te doen. Dat werkt natuurlijk niet meer als er een HDD kapot is, maar dan kan er meestal via de leverancier aan installatiemedia gekomen worden.

Ik denk dat je schromelijk overschat hoeveel mensen er daadwerkelijk een clean install doen. En de mensen die het doen zijn juist de mensen die alle troep van de leverancier niet willen. Die kunnen best zelf een set drivers van de frabikant downloaden.

kimborntobewild @Woy • 12 augustus 2015 14:18

Het is natuurlijk een goed recht van Lenovo om dit te doen

Nou, naar mijn mening anders niet.

Woy Moderator PRG/SEA @kimborntobewild • 12 augustus 2015 14:52

Waarom zou Lenovo dat niet mogen doen? Het is immers een vrije markt, en ze staan vrij om een product te leveren die dingen doet waar jij het niet mee eens bent ( Maar verder compleet legaal ). Het staat jou dan weer vrij om die producten gewoon niet te kopen.

Ge Someone @Devaqto • 12 augustus 2015 14:45

een kwetsbaarheid in de rootkit
LOL, ze durven wel.

Verwijderd 12 augustus 2015 13:11

Lenovo blijft een erg dubieus bedrijf dat pas actie onderneemt nadat er genoeg media aandacht wordt gevestigd op een probleem. Niet eerder, ze stoppen zelf het liefst zo veel mogelijk tracking, rootkits en malware op de verkochte producten zodat zij een extra centje kunnen bijverdienen. In het proces schenden ze ook de privacy van de gebruiker en wordt het niet zo nauw genomen met de beveiliging.

Zumpelvelder @Verwijderd • 12 augustus 2015 13:41

terwijl het vroeger dankzij de ThinkPad serie een hele goede naam had, toch?

Voor mij geen lenovo meer...

blorf @Zumpelvelder • 12 augustus 2015 16:11

De R32 was een van de beste laptops die ik ooit gehad heb. Het plastic zit er nu niet meer omheen (failure van vga-bedrading inwendig) maar het moederbord en zelfs de accu doen het nog.

Erg jammer inderdaad, dit. Die kunnen het bij mij ook vergeten. Dit is gewoon openlijk de consument bedonderen en dan doen alsof dat normaal is. Dat praten ze nooit meer recht.

[Reactie gewijzigd door blorf op 28 juli 2024 07:36]

Only5left 12 augustus 2015 12:48

Het is me echt een raadsel waarom Lenovo dit soort dingen doet, ik heb juist gekozen voor een ThinkPad vanwege de betrouwbaarheid van de serie en Lenovo zelf, maar hierdoor raak ik toch een beetje aan het twijfelen. Veel verlies zullen ze niet draaien door klanten die hierdoor wegblijven want ze zijn (een van?) de grootste spelers in pc's.

Edit: Ik heb het dan ook over het doorsturen van gegevens over de gebruiker, en hoewel ik niet weet wat voor gegevens dit zijn zouden dit gezien de geschiedenis van Lenovo best gegevens kunnen zijn die niks te maken hebben met de software/drivers waarvoor het bedoeld is.

[Reactie gewijzigd door Only5left op 28 juli 2024 07:36]

Caelestis @Only5left • 12 augustus 2015 13:03

Ik vindt het niet zo vreemd. Als je een herinstallatie zou moeten uitvoeren dan kan je dus met 1 klik het uitvoeren zonder dat je daarvoor een techneut zou moeten zijn.
De meeste gebruikers hebben geen zin om handmatig alles te installeren met de juiste driver configuratie.

Dit bestand start vervolgens enkele services op die van het internet gebruik maken om te gebruikers aan te bevelen om Lenovo's OneKey-software te downloaden en om bepaalde gebruikersgegevens te versturen naar het Chinese bedrijf. Dit gebeurde via een onversleutelde verbinding.

Het enige waar ik vraag tekens bij zet is het gedeelte dat ze gebruikers gegevens versturen.
Om wat voor gegevens gaat het eigenlijk? Gaat het om anonieme statistieken mbt gebruik van de rootkit functionaliteit om het mogelijk te verbeteren of gaat het om persoonlijke gegevens?

R4gnax @Caelestis • 12 augustus 2015 13:28

Ik vindt het niet zo vreemd. Als je een herinstallatie zou moeten uitvoeren dan kan je dus met 1 klik het uitvoeren zonder dat je daarvoor een techneut zou moeten zijn.

De OneKey software is vendor-specifieke bloatware die nul-komma-nul noodzakelijke functionaliteit aan een systeem toevoegt en die je in veruit de meeste gevallen beter kwijt dan rijk kunt zijn.

Daarnaast installeert deze rootkit niet eens de OneKey software zelf, maar installeert het een nagware popup die jou er op aandringt om de OneKey software zelf te gaan downloaden en installeren.

Niks geen comfort van een automatische installatie voor essentiële software; het is gewoon ordinaire adware en spyware.

Caelestis @R4gnax • 12 augustus 2015 14:32

Biedt het noodzakelijke functionaliteit? Nee
Doet het wat het adverteert? Ja

Het gaat in dit geval om gebruiksgemak niet of het essentieel is. Dat punt is ter sprake gekomen omdat Microsoft het werkwijze goedkeurt voor essentiële zaken maar dat wil niet zeggen dat het insteek van Lenovo conform is met wat Microsoft zegt.

Ze hadden het beter gewoon in de installatie medium mee moeten bakken en was er niks aan de hand geweest.
Daartegenover installeert het niet ongevraagd het software maar wordt je gewezen op het aanwezigheid van het software dus is de keuze aan jouw om het wel of niet te doen.
Een correcte driver configuratie is niet iets zo triviaal dat je het automatisch als bloatware kan bestempelen maar blijft het gewoon je eigen persoonlijke mening.

Als het je zo erg irriteert dat je een pop-up krijgt voor het installeren van software zou je eens moeten kijken naar het EU wetgeving om Microsoft te verplichten jouw een browser keuze te geven.

Is browser keuze essentieel? Nee
Valt het onder gebruiksgemak? Ja
In dit geval is er zelfs een wet gemaakt dat bloatware door je strot douwt.

Redinox @Only5left • 12 augustus 2015 13:25

"LSE automatically sends specific system data to a Lenovo server to help us understand how our customers use our products. This data does not contain personally identifiable user information. Data consists of the product name, region information, and configuration information, which includes memory size, SKU number, CPU model, screen resolution, HDD size, display card model, and OS version. This information is collected and sent once when the system first connects to the Internet.:

Dus al je zo op hun blauwe ogen (alhoewel...blauwe ogen in China?) kunt/wil vertrouwen, zou er niets persoonlijks doorgestuurd worden. Thinkpads hebben deze software niet.

mrdemc @Redinox • 12 augustus 2015 14:46

Ze zijn er schijnbaar wel
https://s-media-cache-ak0...38c297e2336032a14503f.jpg

Verwijderd @Only5left • 12 augustus 2015 13:52

Eens. Ik had altijd een hoge pet op van IBM/Lenovo, en hierdoor is dit plotsklaps ongedaan gemaakt, en zal ik de komende jaren Lenovo niet overwegen, en ook niet aanbevelen. Vertrouwen komt te voet, en vertrekt per paard.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 07:36]

Verwijderd 12 augustus 2015 12:52

Voor de duidelijkheid, dit zit in de ACPI(opgeslagen in de UEFI) als de Windows Platform Binary Table.
Windows(8+) zoekt zelf naar deze binary en voert hem uit tijdens het opstarten, het zou zo maar kunnen dat veel meer fabrikanten dit gebruiken voor "essentiele software"

http://download.microsoft...latform-binary-table.docx

[Reactie gewijzigd door Verwijderd op 28 juli 2024 07:36]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (104)

Sorteer op:

Weergave: