Win 8 和Win 10中包含了一個讓許多用戶都不喜歡的功能，被稱為“Windows Platform Binary Table”。電腦廠商可以從BIOS向系統(tǒng)推送和安裝軟件，Win 8和10將會在啟動時提取這個執(zhí)行文件并自動運行。通過這種方式，電腦廠商可以在Windows的機器上注入軟件，即使系統(tǒng)重裝之后也還是如此。

Windows的善意與誤傷

WPBT的主要目的是用于防盜軟件的自動安裝。一旦硬件丟失或者被盜，數(shù)據(jù)被清除后任何防盜軟件也不復存在，這更不利于系統(tǒng)的恢復。因此，WPBT提供了這個解決方案：即使磁盤被擦拭、系統(tǒng)經(jīng)過重新安裝，固件依然可以重裝軟件并且報告筆記本被盜的情況。

然而，也就是說除非刷 BIOS，否則廠商預裝軟件可以一直出現(xiàn)在用戶的電腦里面。

好消息是大多數(shù)廠商似乎并沒有利用這個特性。但是，壞消息來了：“大多數(shù)”并非“所有”。2014年10月至今年4月，聯(lián)想利用這一功能在某些聯(lián)想臺式機和筆記本系統(tǒng)中預裝了被稱為“聯(lián)想服務引擎”的軟件。

聯(lián)想暴扣得分

據(jù)聯(lián)想描述，該軟件的功能取決于其是在臺式機還是筆記本系統(tǒng)中。臺式機上，軟件只能發(fā)送一些基本信息(系統(tǒng)模型、區(qū)域、日期以及系統(tǒng)ID)到聯(lián)想服務器上面。這并不包括任何的個人識別信息，但是系統(tǒng)ID應該是每個設備所特有的。聯(lián)想認為這是個一次性的操作，信息只會在機器第一次聯(lián)網(wǎng)的時候才會被發(fā)送。

而針對筆記本電腦，軟件功能則有所不同。聯(lián)想筆記本會在每次開機的過程中都會寫入一份系統(tǒng)文件，下載聯(lián)想官方更新文件，并且自動安裝。而之所以能夠?qū)崿F(xiàn)這一功能是因為聯(lián)想在 BIOS 中設置了一項功能選項“Lenovo Service Engine”(LSE)，下載的軟件是“OneKey Optimizer”，根據(jù)官方的介紹，這是一個系統(tǒng)優(yōu)化工具：

“OneKey Optimizer(OKO) 是專為聯(lián)想電腦研發(fā)的新一代功能強大的系統(tǒng)優(yōu)化軟件，它能夠為您的電腦進行體檢，提升電腦性能，更新最新的固件、驅(qū)動和應用程序，并提供合理的電源管理方案，有效延長電池使用壽命。”

然而，另一個種觀點卻認為OKO完全可以放在“廢件”的類別中。雖然OKO做了一點有用的維護系統(tǒng)的工作——例如更新驅(qū)動——它同樣還能提供性能“優(yōu)化”以及系統(tǒng)垃圾文件清理，但是這兩點均受到了嚴重的質(zhì)疑。

更糟糕的是LSE(或OKO)其實并不安全。4月份聯(lián)想與微軟研究員Roel Schouwenberg發(fā)布了報告稱其存在的隱患包括緩沖區(qū)溢出和不安全網(wǎng)絡連接。問題在于，攻擊者可以利用這種自動更新和自動安裝機制偽裝成聯(lián)想的更新服務，在用戶重啟電腦的過程中安裝任何惡意軟件。

聯(lián)想用戶論壇舉報

這個情況最初被曝光于arstechnica論壇，一位用戶發(fā)現(xiàn)BIOS會檢查C:\Windows\system32\autochk.exe 是聯(lián)想的版本還是微軟的原始版本，如果是微軟的版本，它會將其移至C:\Windows\system32\0409\zz_sec\autobin.exe，然后寫入聯(lián)想的autochk.exe。

在啟動期間， autochk.exe會向system32文件夾寫入 LenovoUpdate.exe和LenovoCheck.exe，連上網(wǎng)后，它會設置一個服務運行其中一個程序，然后訪問 http://download.lenovo.com/ideapad/windows/lsebios/win8_en-us_32_oko.json。這個網(wǎng)址沒有使用加密，意味著可以被攻擊者攔截流量遠程執(zhí)行代碼。

今年6月有中國網(wǎng)友在知乎提問“如何評價聯(lián)想電腦自動安裝LenovoUpdate.exe、LenovoCheck.exe等軟件的行為?”。

有中國網(wǎng)友對此頗為不滿：

“聯(lián)想的這種行為是否真的值得信賴?日防夜防，家賊難防，操作系統(tǒng)和應用級別的流氓軟件解決起來非常簡單，最不濟重裝系統(tǒng)，但是BIOS的rootkit耍起流氓來就不是那么簡單了。”

“推廣國產(chǎn)自主化這件事沒那么簡單，行外人還是不要瞎揣度了。Lenovo頂多也只有耍流氓的途徑，真想耍得好功力還差得遠，先掏錢改善改善自己隊伍的生活水平吧。”

聯(lián)想公司緊急處理

聯(lián)想目前已作出回應，在新系統(tǒng)中停止了LSE的應用(該公司說，6月份之后的系統(tǒng)是干凈的)。聯(lián)想在其英文官方網(wǎng)站發(fā)布了提供了筆記本電腦的固件更新，并發(fā)布了在臺式機中禁用該選項并清理LSE文件的操作步驟。但是中文官網(wǎng)并沒有更新。

受影響的機型如下：

Flex 2 Pro-15/Edge 15 (Broadwell)
Flex 2 Pro-15/Edge 15 (Haswell)
Flex 3-1470/1570
Flex 3-1120
G40-80/G50-80/G50-80 Touch/V3000
S21e
S41-70/U41-70
S435/M40-35
Yoga3 14
Z70-80 / G70-80
Yoga 3 11
Y40-80
Z41-70/Z51-70

解決方案

尚不清楚是否有其他電腦制造商也在利用WPBT的能力。LoJack公司提供了一份冗長的清單，列舉出了可能應用了此功能的固件以及大多數(shù)或者全部的系統(tǒng)。在此FreeBuf建議受影響系統(tǒng)用戶更新固件，然后運行聯(lián)想的LSE移除工具來清理磁盤的文件。