Es habitual que los fabricantes de ordenadores (especialmente portátiles) instalen en los equipos software propio que ayude al usuario a controlar mejor las características del sistema. El problema viene cuando estos fabricantes instalan software que también espían a los usuarios o incluso que no puede ser eliminado del sistema ni con un formateo, tal como tomó la decisión de hacer Lenovo con su última BIOS.
El fabricante chino incluyó en la última actualización de su BIOS su software Lenovo Service Engine (LSE). Este software de control del sistema no solo se instalaba automáticamente en todos los ordenadores (incluso si se formateaba el sistema y se instaba desde cero), sino que también impedía su desinstalación incluso después de haber detectado una serie de fallos de seguridad en el sistema. Un investigador de seguridad, Roel Schouwenber, consiguió incluso ganar privilegios en el sistema aprovechando los fallos del software LSE.
Lenovo y Microsoft también han descubierto otra serie de fallos de seguridad en este software que permiten a un atacante desbordar el buffer del sistema e incluso establecer conexiones remotas a través de un puerto de prueba de Lenovo. Todos los ordenadores fabricados desde abril de 2015 hasta la fecha son vulnerables al tener instalado por defecto el software LSE.
Lenovo ha publicado un comunicado oficial donde informa a los usuarios que tras las últimas investigaciones el software LSE ha dejado de instalarse en los nuevos equipos y que ha publicado una actualización que aparte de solucionar los problemas de la versión actual del software lo desvincula de la BIOS y permite su gestión y desinstalación como software independiente para que los usuarios que no quieran tenerlo instalado no lo hagan.
Tanto para desinstalarlo manualmente como para no Lenovo urge a los usuarios que instalen la nueva versión para corregir estos fallos de seguridad que, en breve, empezarán a ser explotados por piratas informáticos.
No es la primera vez que Lenovo tiene problemas con el bloatware
A principios de año Lenovo se encontró con que una de sus aplicaciones pre-instaladas, Superfish, espiaba la actividad de los usuarios mediante un certificado malicioso que se instalaba en los sistemas.
Superfish controlaba la actividad de los usuarios en la red y mostraba anuncios publicitarios basados en los gustos e intereses de los consumidores. Aunque esto no era más que una «molestia» también se pudo demostrar que este software malicioso recopilaba información personal y confidencial como cuentas bancarias y contraseñas.
¿Tienes un equipo de marca Lenovo? ¿Has actualizado ya la BIOS a la última versión?
Quizá te interese:
- Cómo protegernos de la amenaza Superfish de los equipos de Lenovo
- LikeThat, un software similar a Superfish disponible para Android e iOS