متهم‌شدن لنوو به استفاده از RootKit برای نصب پنهانی

کمیته رکن چهارم – دو سال پیش، شرکت چینی لنوو به خاطر نگرانی‌هایی بابت نفوذ و جاسوسی، به خاطر تأمین امکانات هوشمند شبکه و سرویس‌های دفاعی برای بسیاری از کشور‌ها، تحریم شد.

به گزارش کمیته رکن چهارم – پیش‌تر در امسال نیز، لنوو برای فروش لپ‌تاپ‌هایی که بدافزار سوپرفیش را به صورت پیش‌فرض نصب داشتند، متهم شده بود.
در خبرهای همین وب‌گاه خواندید که یکی از معروف‌ترین کارخانه‌های سازنده‌ی لنوو بار دیگر و به خاطر استفاده از ویژگی مخفی ویندوز برای نصب پیش‌فرض نرم‌فزار روت‌کیت، روی مدل‌های خاصی از لپ‌تاپ و رایانه‌ی رومیزی، تحت پی‌گرد قانونی قرار گرفته است. این ویژگی تحت عنوان موتور سرویس لنوو (LSE) شناخته شده و قطعه کدی است که در سفت‌‌افزار مادربود رایانه قرار می‌گیرد.
اگر ویندوز نصب شود، LSE به طور خودکار نرم‌افزار متعلق به لنوو را حین راه‌اندازی و پیش از اینکه سامانه‌ی عامل ویندوز بالا بیاید، بارگیری و نصب کرده و بر روی پرونده‌های سامانه‌ای ویندوز دوباره‌نویسی می‌کند.
بخش نگران‌کننده‌تر این خبر آن است که این ویژگی، نرم‌افزاری را به سامانه تزریق می‌کند که درایورها، سفت‌‌افزار‌ها و سایر برنامه‌های از پیش نصب شده را به‌روزرسانی ‌می‌کند؛ حتی اگر سامانه را پاک کنید.

بنابراین حتی اگر برنامه‌های نرم‌افزاری خود لنوو را پاک کنید، LSE‌ مخفی در ثابت افزار، به محض این‌که سامانه‌تان را راه‌اندازی مجدد کنید آن‌ها را دوباره بازمی‌گرداند.
کاربران در تالارهای خبری برخط، لنوو را به خاطر این‌کار مورد انتقاد قرار داده‌اند. آن‌ها به شرکت سازنده‌ی چینی مشکوک‌ هستند که بوت‌کیتی را نصب کرده که حتی در صورت پاک‌کردن کل سامانه و نصب مجدد سامانه‌ی ‌عامل باقی می‌ماند.
خبر این اشکال اولین‌بار در اردیبهشت و در زمان استفاده از لپ‌تاپ‌های جدید لنوو کشف و گزارش شد، اما روز سه‌شنبه به طور گستره منتشر شد.

این برنامه‌ی‌ ناخواسته،چه می‌کند؟
برای مدل‌های رایانه‌ی رومیزی:
در مدل‌های رایانه‌ی رومیزی، بیانیه‌ی لنوو می‌گوید که این نرم‌افزار اطلاعات شناسایی شخصی را ارسال نمی‌کند، بلکه اطلاعات پایه‌ای را از جمله مدل سامانه، موقعیت مکانی و شناسه‌ی سامانه، به کارگزار لنوو می‌فرستد.
به علاوه، شرکت لنوو ادعا می‌کند این فرآیند تنها یکبار و آن هم در زمان اولیت اتصال سامانه به اینترنت رخ‌می‌دهد.

برای مدل‌های لپ‌تاپ‌:
درمورد لپ‌تاپ‌ها، این نرم‌افزار کار بیشتری انجام‌می‌دهد. LSE یک برنامه‌ی نرم‌افزاری به نام «بهینه‌ساز تک کلید (OKO)» را نصب می‌کند.
براساس گفته‌ی این شرکت، نرم‌افزار OKO برای افزایش کارایی رایانه استفاده می‌شود و این‌کار را از طریق «به‌روزرسانی سفت‌افزار، درایورها و برنامه‌های از پیش نصب‌شده» و هم‌چنین «بررسی پرونده‌‌های به‌دردنخور و یافتن عوامل تأثیر‌گذار روی کارایی سیستم» انجام می‌دهد.
OKO در دسته‌بندی‌ِ تفاله‌ابزار یا crapware قرارمی‌گیرد. بدترین بخش این است که هردوی LSE و OKOناامن به‌نظر می‌رسند. درماه فروردین، محقق امنیتی روئل شونبرگ برخی مشکلات امنیتی از جمله سربار بافر و ارتباطات ناامن شبکه را به مایکروسافت و لنوو گزارش داد.
این امر لنوو را مجبور کرد قرار دادن LSE را در سامانه‌های جدیدیش، از ماه خرداد به بعد، متوقف کند.
لنو هم‌چنین به‌روزرسانی‌های سفت‌‌افزاری را برای لپ‌تاپ‌‌های آسیب‌پذیر عرضه کرد. این شرکت هم‌چنین دستورالعملی برای غیرفعال کردن این تنظیم در سامانه‌های تحت ‌تأثیر قرار گرفته و نیز برای پاک‌کردن پرونده‌های LSE منتشر کرد.

در بین سایر دستگاه‌ها، سامانه‌های بسیاری از دسته فلکس و یوگا که سامانه‌‌های ‌عامل‌ ویندوز ۷، ۸ و ۸.۱ داشتند نیز تحت ‌تأثیر این مشکل قرار گرفته‌اند. فهرست‌ کاملی از نوت‌بوک‌ها و رایانه‌های رومیزی‌ تحت تأثیر این مشکل را می توانید در وب‌گاه رسمی لنوو ببینید.

چگونه موتور سرویس لنوو(RootKit) را حذف کنیم؟
برای حذف LSE از سامانه‌‌های تحت تأثیر قرار گرفته، این گام‌ها را مد نظر قرار دهید:
۱.نوع سامانه‌ی خود را مشخص کنید (ویندوز ۳۲ یا ۶۴ بیتی)
۲. به بخش مشاوره‌ی امنیتی لنوو رفته و پیوند مخصوص سامانه‌ی لنووی خود را بیابید.
۳.روی گزینه‌ی تاریخ برای آخرین به‌روزرسانی کلیک کنید.
۴. ابزار غیرفعال کننده‌ی LSE را یافته، آن را متناسب با نسخه‌ی ویندوز سامانه‌تان بارگیری کنید.
۵. پس از پایان ‌یافتن بارگیری، برنامه را باز کنید.

بدین‌ترتیب نرم‌افزار LSE حذف خواهد شد.

منبع : رسانه خبری امنیت اطلاعات