Ein Superfish ist nicht genug: Lenovo installierte Bloatware per BIOS-Rootkit

Im Februar geriet Lenovo in die Schlagzeilen, weil auf seinen Systemen teilweise die Adware “Superfish” vorinstalliert war. Es gab einen lauten Aufschrei, Lenovo ruderte zurück und versprach, in Zukunft nur noch saubere PCs ohne Bloatware auszuliefern. Superfish war aber nicht das Einzige, was Lenovo seinen Kunden unterjubelte. Über im BIOS verankerte Funktionen installierte Lenovo auf seinen Geräten auch dann eigene Software, wenn der Nutzer eine Neuinstallation von Windows vornahm.

Eine Solche hat ein Käufer eines Lenovo-Notebooks nämlich vorgenommen und sich anschließend gewundert, wie auf einmal die Software “OneKeyOptimizer” von Lenovo auf sein System kam. Dies geschah mit Hilfe einer Windows-Funktion, von der ich ehrlicherweise auch noch nie gehört habe. Die “Windows Platform Binary Table” erlaubt es, Code im BIOS abzulegen, der dann vom Betriebssystem geladen wird – also eine Art “Rootkit per Definition”. Das Feature ist eigentlich “gut gemeint”, um z.B. eine Diebstahlschutzsoftware zu reaktivieren, wenn ein Dieb ein gestohlenes Gerät frisch aufsetzt. In diesem Fall aber wurde es dazu genutzt, dem Benutzer eine ungewollte Dreingabe zu servieren.

Inzwischen hat Lenovo ein BIOS-Update veröffentlicht, mit dem diese Funktion entfernt wird. Betroffen davon sind die folgenden Geräte:

Lenovo Notebook
• Flex 2 Pro 15 (Broadwell)
• Flex 2 Pro 15 (Haswell)
• Flex 3 1120
• Flex 3 1470/1570
• G40-80/G50-80/G50-80 Touch
• S41-70/U41-70
• S435/M40-35
• V3000
• Y40-80
• Yoga 3 11
• Yoga 3 14
• Z41-70/Z51-70
• Z70-80/G70-80

Lenovo Desktops
• A540/A740
• B4030
• B5030
• B5035
• B750
• H3000
• H3050
• H5000
• H5050
• H5055
• Horizon 2 27
• Horizon 2e(Yoga Home 500)
• Horizon 2S
• C260
• C2005
• C2030
• C4005
• C4030
• C5030
• X310(A78)
• X315(B85)

Wer eines dieser Modelle besitzt, sollte also gleich mal nachschauen, ob er auf dem aktuellen Stand ist, denn zu allem Unglück steckte in Lenovos BIOS auch noch eine Sicherheitslücke, über die sich die Funktion grundsätzlich auch zum Einschleusen von Schadsoftware geeignet hätte.

via TheNextWeb