Produkte
12.08.2015

Lenovo nutzt Rootkit um ungefragt Software zu installieren

Lenovo-Geräte installieren Software zur Datenübermittelung, selbst wenn der Rechner komplett neu aufgesetzt und eine neue Festplatte genutzt wird.

Lenovo hat sich bereits mit der vorinstallierten Adware Superfish unbeliebt bei seinen Kunden gemacht. Jetzt ist bekannt geworden, dass Lenovo im Grunde ein Rootkit auf seinen Computern einsetzt um Software automatisch zu installieren – selbst wenn der Rechner komplett neu aufgesetzt und eine neue Festplatte verwendet wird.

Aufmerksam auf die Software wurde ein User, der bewusst versucht hat, sein Lenovo-Gerät ohne Bloatware neu aufzusetzen. Er hat auf einem Lenovo-Notebook Windows 8 von DVD auf einer neuen SSD installiert, während WLAN deaktiviert war. Dennoch lief ein Lenovo-Dienst im Hintergrund, auch jedes Mal wieder, nachdem dieser manuell entfernt wurde.

LSE

Dieses Programm namens Lenovo Service Engine (LSE) lädt auf Systemen mit Windows 7, 8 und 10 eine weitere Software herunter, sobald der Computer online ist. Der heruntergeladene OneKey Optimizer soll offiziell die Firmware und Treiber updaten und Daten der Hardware, das Datum und Standort-Daten an Lenovo übermitteln. Laut Lenovo werden keine persönliche Daten übertragen.

LSE ist im BIOS integriert. Durch Microsofts Windows Platform Binary Table (WPBT) werden diese im BIOS abgelegten Binärdaten geladen. Laut Microsoft ist WPBT dazu gedacht, dass wichtige Software auch bei einem kompletten Neuaufsetzen des Systems automatisch installiert wird.

Manuelles entfernen

Dass LSE ein Rootkit-ähnliches Verhalten an den Tag legt, wurde erst kürzlich bekannt. Lenovo hat aber bereits am 31. Juli ein Tool veröffentlicht, mit dem der User LSE entfernen kann. Interessant ist, dass Lenovo zwei Begründungen dafür angegeben hat.

Bei der Sicherheitsmeldung LSE for Desktop ist davon die Rede, dass Microsoft seine Sicherheitsrichtlinien für WPBT geändert hat. LSE erfüllt diese Richtlinien nicht, weshalb es per Tool entfernt werden kann. Die Schwere der Sicherheitsmeldung wird mit niedrig angegeben.

Bei LSE for Notebook ist die Schwere mit hoch angegeben. Laut der Meldung ist es Hackern möglich mittels eines manipulierten Servers Schadcode über OneKey Optimizer ins System einzuspielen. Laut Lenovo ist LSE auf neuen Computern und Notebooks nicht mehr installiert.