Lenovo installierte System-Software per Windows-Rootkit

Die Lenovo Service Engine residiert im BIOS und überschreibt eine Windows-System-Datei. Sie spielt auch nach einer Neuinstallation von Windows Lenovos eigene Software automatisch ein. Inzwischen stuft auch Lenovo die Engine als Sicherheitsrisiko ein.

Lenovo hat eine wie ein Rootkit funktionierende Windows-Sicherheitsfunktion benutzt, um eine unerwünschte eigene System-Software auf seinen Computern zu installieren. Selbst nach einer Neuinstallation des Betriebssystems mit einer Windows-DVD war der chinesische Computerhersteller so in der Lage, seine Software ohne Wissen und Zustimmung des Nutzers nachträglich einzuspielen.

Bug entdeckt (Bild: Shutterstock)In Internetforen berichten Nutzer schon seit Mai über das Problem, das an die von Lenovo früher verwendete Adware Superfish erinnert. Demnach nutzt Lenovo einen Rootkit-artigen Installer namens Lenovo Service Engine (LSE), der Teil des BIOS ist und eine wichtige Windows-System-Datei mit einer eigenen Version überschreibt. Sie erlaubt den Download beliebiger Dateien, sobald sich ein Gerät mit dem Internet verbindet.

Anschließend installiert sie zusätzliche Programme, die unter anderem Treiber, Firmware und andere ab Werk vorhandene Apps aktualisieren. Die Engine schickt nach Angaben des Unternehmens aber auch anonyme Systemdaten an Lenovo-Server. Ende Juli räumte Lenovo zudem ein, dass die Service Engine ein Sicherheitsrisiko darstellt.

In einem am 31. Juli veröffentlichten Sicherheitsbulletin warnt Lenovo, dass Hacker die Software benutzen könnten, um Schadsoftware einzuschleusen. Betroffenen Nutzern steht ein Sicherheitsupdate zur Verfügung, dass die Engine vollständig entfernt. Allerdings muss dieser Patch manuell installiert werden.

Die Lenovo Service Engine findet sich unter anderem auf vielen Computern der Modellreichen Yoga und Flex mit Windows 7, 8 und 8.1. Business-Rechner wie die PCs der Marke „Think“ hat Lenovo indes nicht mit der Software ausgestattet. Eine vollständige Liste aller anfälligen Modelle hat Lenovo auf seiner Website veröffentlicht.

Während viele Hersteller ihre Computer mit Software ausliefern, die Nutzer als unnütz oder unerwünscht einstufen, stellt von Lenovo verwendete Bloat- oder Crapware nun schon zum zweiten Mal auch ein ernstes Sicherheitsrisiko dar. Im Februar 2015 war bekannt geworden, dass Lenovo über einen Zeitraum von mehreren Monaten die Adware Superfish Visual Discovery auf seinen Notebooks vorinstallierte. Sie blendete nicht nur unerwünschte Werbung ein, ein selbstsigniertes Root-Zertifikat erlaubte der Software auch, per HTTPS verschlüsselten Datenverkehr zu entschlüsseln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen war, konnte es auch für bösartige Angriffe benutzt werden.

[mit Material von Zack Whittaker, ZDNet.com]

 

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Themenseiten: Lenovo, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Lenovo installierte System-Software per Windows-Rootkit

Kommentar hinzufügen
  • Am 14. August 2015 um 22:47 von Grohs Burkhard

    Hallo! Man Müsste so ein Sauerei mit ein Einführverbot für ganz Europa Bestrafen am besten die Ganze Firma die Lizenz Entziehen. Das Wäre eine Abschreckung für andere die genauso eine Praxis haben, wenn da nichts richtig unternommen Wird werden wir bald alle Gläsern sein und Nackt durchs Internet Laufen.. so kann es nicht weitergehen der Datenschutz ist und wird mir immer Heilig Bleiben..

  • Am 14. August 2015 um 12:34 von zeitloss

    Gibt es eigentlich noch igendeinen Hersteller der seine Soft- oder Hardware nicht als Spionagewerkzeug benutzt? Zum Kotzen ist sowas.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *