本の虫

著者:江添亮
ブログ: http://cpplover.blogspot.jp/
メール: boostcpp@gmail.com
Twitter: https://twitter.com/EzoeRyou
GitHub: https://github.com/EzoeRyou

アマゾンの江添のほしい物リストを著者に送るとブログ記事のネタになる

筆者にブログのネタになる品物を直接送りたい場合、住所をメールで質問してください。

Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない

最近のLenovoのBIOSのアップデートに以下のものがある。

Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS

この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。

などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的に何をやっているのか。驚くべきバカなことが行われていた。

Lenovo G50-80 dialog box - Ars Technica OpenForum

Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoのものかMicrosoftオリジナルのものかどうかを調べ、Lenovoのものでなければ、オリジナルはC:\Windows\system32\0409\zz_sec\autobin.exeに移動され、独自のautochk.exeが書き込まれる。

ブート中に、Lenovoのautochk.exeは、LenovoUpdate.exeとLenovoCheck.exeをsystem32ディレクトリに書き込み、インターネット接続が行われた場合に、どちらかをサービスとして実行する。これが何をしているのかについて詳しくは知らないが、この内の一つは、http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.jsonを読み込むらしい。これはsslを使っていないし、"ForceUpdate"というパラメーターがあることから、どうも怖い。通信を改変できる誰からでも(public wifiとか)任意のコードを実行可能な脆弱性として利用できそうだ。

アホか? Lenovoは脳の髄までアホなのか? なぜBIOSがファイルシステムの、しかもOSの重要なファイルを改変しているのだ? Windowsのアップデートやアップグレードで動かなくなることは必然として、悪意すら感ずるほどのスガスガしいマヌケっぷりだ。

Lenovoがこれを実装するのに必要な技術者の誰か一人でも、「俺の屍を越えて行け」という態度を取らなかったのは驚くべきマヌケっぷりだ。Lenovoは上から下までマヌケしかいないか。

Lenovo製品を使うのは大いにセキュリティ上のリスクだ。絶対に使ってはいけない。