Hardware-Whitelisting bei Lenovo-Geräten?

[EN]Heute noch ein kleiner Beitrag, den ich mit einem Fragezeichen versehen habe. Es geht um die Feststellung, dass bei modernen Lenovo-Geräten Hardware-Komponenten nur noch durch autorisierte Ersatzteile des Herstellers ersetzt werden können. Hier ein kleiner Übersichtsartikel – hardware-affine Blog-Leser kennen die Thematik – mir war sie aber nicht wirklich so bewusst.

Ich bin noch in einer Zeit “groß geworden”, in der Hardware nur vom jeweiligen Hersteller erhältlich war. So bis 1981 gab es nur wenige “Industriestandards” wie die Centronics-Druckerschnittstelle oder den Shugart-Anschluss für Diskettenlaufwerke. So richtig genial wurde es, als IBM 1981 den sogenannten IBM PC einführte, der u.a. auch austauschbare Steckkarten aufwies. Diese etablierten sich schnell zum “Industriestandard” und man konnte Peripheriegerate wie Grafikkarten oder sonstige Zusatzkarten von vielen Herstellern zukaufen. Das Ganze hat sich zwar weiter entwickelt, aber unter dem Strich ist die Austauschbarkeit der Peripheriegeräte ein riesiger Erfolg. Nun gibt es aber Ansätze in der Gerätehersteller, die Verwendung fremder Ersatzteile und Fremdzubehör durch technische Tricks zu verhindern.

Whitelisting, was steckt dahinter?

Zuerst möchte ich kurz klären, was man unter Whitelisting versteht. Es handelt sich um eine “weiße Liste”, in der zugelassene “positive Ausnahmen” eingetragen sind. Bei E-Mails kann eine White List die zulässigen E-Mail-Absender aufführen, von denen man E-Mails zugestellt bekommt (während in der Black List die Adressen der Spammer stecken).

Bei Hardware gibt es den Trend, dass die Hersteller nur zugelassene Peripheriegeräte als Zubehör wünschen. Das ist beispielsweise der Ansatz, den Apple mit der MFi-Zertifizierung anstrebt. Begründung ist die Sicherstellung der Kompatibilität. Auch Samsung verwendet Ansätze, um nur eigenes Zubehör bei Smartphones verwendbar zu machen (siehe z.B. hier).

Auch bei Desktop-PCs und Notebooks vorstellbar

Bei PCs und Notebooks könnte es im Interesse der Hersteller liegen, dass nur “zertifizierte” Ersatzteile, die natürlich nur bei dieser Firma erhältlich sind, verbaut werden. Verwendet man eine Komponente eines anderen Anbieters, funktioniert das Gerät nicht mehr. Es gibt nun verschiedene Ansätze, wie man die Nutzer an den Kanthaken bekommen kann.

Lizenzkey für Windows im BIOS

Bei Mainboards und Windows als Betriebssystem funktioniert dies ab Windows 7 bereits ganz gut. Dort wurde die Technik eingeführt, dass Windows Lizenzschlüssel vom OEM in sogenannten SLIC-Tables im ACPI-Teil des BIOS abgelegt wird. Seit die OEM Activation 3.0 (OA 3.0) von Microsoft für OEM zur digitalen Lizenzierung von Windows (ab Windows 8) eingeführt wurde, gibt es auch keine separaten Lizenzkeys mehr. Führt dazu, dass bei Austausch des Mainboards nur noch Komponenten des OEMs verbaut werden können – andernfalls erlischt die Windows-Lizenz. Hier ein paar Links zu entsprechenden Blog-Beiträgen, die sich um die damit einhergehenden Probleme drehen.

Neue Details zu Windows 8 OA 3.0
OA 3 verhindert Windows 8 Pro-Installation
Microsoft und die (Windows 7 OEM-)Aktivierungsprobleme
Windows 10 Pro: Installation auf OEM-Maschinen
Windows 8: Aktivierungsfalle bei BIOS/UEFI-Updates

Boot Guard – die Sperre im BIOS/UEFI

Bei Boot Guard handelt es sich um einen Firmware-Schutz, der das Flashen alternativer Firmware verhindern soll. Eingeführt wurde die Technik von Intel, um die Integrität des BIOS/UEFI zu gewährleisten. Damit entziehen Intel und der OEM dem Käufer der Hardware aber die Kontrolle, welche Firmware er auf den Geräten installieren kann. Die Redaktion bei heise.de hat sich vor einem Jahr im Artikel Firmware-Schutz blockiert BIOS-Alternative Coreboot Gedanken zum Thema gemacht – und auch Golem hat es hier thematisiert. Einen Forenkommentar zum Thema mit Infos zu Dell und Lenovo findet sich hier.

Whitelisting von Hardware bei Lenovo

Ich habe das alles am Rande mitbekommen – da hier noch viel (sehr) alte Hardware werkelt, hat mich das nicht so brennend interessiert. Aber irgendwann fallen die Puzzleteile ins Bild. Als ich den Artikel Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode aktualisiert habe, bin ich auf diesen Forenbeitrag gestoßen, die von einem Whitelisting von Hardware bei Lenovo berichten.

Bei einem Lenovo T430s führte der Versuch des Nutzers, eine defekte Atheros WiFi Karte durch einen Ersatz von einem Dritthersteller auszutauschen, zu einem Fehler:

1802: Unauthorized network card is plugged in – Power off and remove the miniPCI network card.

Geht man nach diesem Fehler auf die Suche, erfährt man (z.B. hier), dass es ein WhiteListing für die UMTS- und Netzwerkkarte bei diversen Lenovo-Modellen im BIOS eingeführt wurde. Wer die Karte austauscht, erhält den Fehler angezeigt. Im Wiki-Beitrag lässt sich aber auch nachlesen, wie man den Fehler umgehen kann. Auch heise.de hat hier eine Kurzinfo.

Wird Bei Boot Guard auf den Mainboards verwendet, ist das Patches des BIOS imho aber nicht mehr möglich. Bei Lenovo scheint es aber so zu sein, dass man sich wohl mehr Ärger als Freude mit dem Whitelisting eingehandelt hat. Laut diesem Forenbeitrag scheint das Hardware-Whitelisting bei der Thinkpad .50 er Serie wieder aufgehoben zu sein.

Wie sind eure Erfahrungen?

Irgendwie hatte ich mir mal gemerkt, dass Lenovo im professionellen Bereich gerne eingesetzt wird (ich habe keine Lenovos hier). Wenn ich mir aber so die Meldungen der letzten Monate im Blog ansehe, kommt Lenovo doch alle paar Wochen mit einer Sicherheitslücke oder Schweinerei vor. Alleine aus diesem Grund würde ich einen Bogen um deren Produkte machen.

Und die Whitelisting-Ansätze sind ein weiterer Grund, keine Lenovo-Geräte zu kaufen. Aber wie schaut das bei anderen Herstellern aus? Wie sind eure Erfahrungen – und wie ist die Position zu Lenovo?

Ähnliche Artikel:
Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode
Backdoor ‘Windows Platform Binary Table’ (WPBT)
Windows 10, Autotreiber-Ärger und Intel “Board-Intelligenz”

Murmeltiertag: Sicherheitslücke in Lenovo Solution Center
Wieder Sicherheitslücke in Lenovo Solution Center
CA-Zertifikat für Bluetooth auf Lenovo-Rechnern
Lücke im Lenovo Solution Center geschlossen
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Sammelt Lenovo Daten auf ThinkPad, ThinkCentre, ThinkStation?
Optionales Windows-Update KB3107998 für Lenovo-PCs (USB Blocker Tool)
Lenovo Service Engine (LSE) – Superfish reloaded II
Windows 10: Lenovo Accelerator Application deinstallieren

Dieser Beitrag wurde unter Geräte, Notebook, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Hardware-Whitelisting bei Lenovo-Geräten?

  1. Thomas Bauer sagt:

    Bei neueren Notebooks, egal welcher Hersteller, kann der Austausch der WiFi Karte ein Problem sein. Ich hatte das Thema vor 2 Jahren schon auf den Schirm weil ich bei meinen Acer Notebook die Atheros WiFi Karte gegen eine Intel AC 7260 mit WLAN AC getauscht hatte. Intel Karten waren zum Glück zugelassen.

  2. Georg sagt:

    Um 2014 eine ab Werk verbaute Intel Centrino Wireless N-2230 Bluetooth 4.0 (half mini PCI-E) gegen eine Intel Dual Band Wireless AC-7260 Bluetooth 4.0 Smart Ready (Low Energy) (half mini PCI-E) austauschen und in Betrieb nehmen zu können, musste das BIOS des Lenovo ThinkPad Edge E330 modifiziert werdend.h. die im BIOS hinterlegte White List wurde angepasst. https://www.bios-mods.com/ ist eine hilfreiche Anlaufstelle. Nach einem Neustart mit dem BIOS-Mod blieb der Rechner nicht mehr beim Booten hängen und der originale Intel-Treiber konnte unter Win 7 Ultimate SP1 installiert werden. Der Verlust der Garantie nahm ich sehr gerne in Kauf. Zur Sicherheit hsbe ich das Original-BIOS noch auf einem USB 2.0-Stick gespeichert.
    HP und DELL sollen ebenfalls White Lists ins BIOS integriert haben.

  3. Georg sagt:

    Um 2014 eine ab Werk verbaute Intel Centrino Wireless N-2230 Bluetooth 4.0 (half mini PCI-E) gegen eine Intel Dual Band Wireless AC-7260 Bluetooth 4.0 Smart Ready (Low Energy) (half mini PCI-E) austauschen und in Betrieb nehmen zu können, musste das BIOS des Lenovo ThinkPad Edge E330 modifiziert werden, d.h. die im BIOS hinterlegte White List wurde angepasst. https://www.bios-mods.com/ ist eine hilfreiche Anlaufstelle. Nach einem Neustart mit dem BIOS-Mod blieb der Rechner nicht mehr beim Booten hängen und der originale Intel-Treiber konnte unter Win 7 Ultimate SP1 installiert werden. Natürlich geht der Garantieanspruch bei dieser Vorgehensweise verloren! Zur Sicherheit habe ich das Original-BIOS noch auf einem USB 2.0-Stick gespeichert. Das Laptop wurde komplett neu aufgesetzt, nachdem das auf der Festplatte ab Werk abgelegte Treiber-Verzeichnis auf o.g. USB-Stick verschoben worden ist.
    HP und DELL sollen ebenfalls White Lists ins BIOS integriert haben.

  4. Tim sagt:

    Na ja… die Technik hat Lenovo halt direkt von IBM vererbt bekommen und weiterleben lassen.

    Zuletzt hab ich mir das bei einem IBM T42 Notebook angetan, bei dem ich das WLan Modul tauschen musste und danach ständig eine CD mit einem Crack mitführen konnte, für den Fall, dass das Bios mal resettet und der 1802 Error auftaucht…

    Seit dem braucht mir keiner mehr mit (heute) Lenovo kommen, auch wenn die Dinger im Prinzip nicht mal unbedingt verkehrt sind.

    IBM war aber der Vater dieser tollen Idee…

  5. Kein wunder das ich mir noch nie einen Komplett PC Gekauft habe dafür siehts jedoch bei Notebooks anders aus.

    Nun gut für einzelne Mainboards gibts ja auch schon seit Jahren Kompatibilitätslisten für Arbeitsspeicher und mittlerweile auch für SSD’s, wenn das Schule machen sollte bastelt da bald jeder Hersteller an seiner eigenen Hardware-Whitelist rum.
    Ich wies jedoch nicht ob dies so einfach ist wegen dem Wettbewerb da könnte es auch Gesetzeswidrig sein um mit diversen Absprachen bestimmte Hersteller ins Abseits zu drücken.

  6. Ingo sagt:

    Die Whitelists sind keine Lenovo-Spezialität, auch z.B. HP kennt sowas. Es geht dabei auch gar nicht primär darum, Kunden zu ärgern oder den Ersatzteilkauf zu verteuern.

    Das Problem ist einfach, dass es hier um Zusatzkarten für Funk geht, d.h. WLAN oder WWAN. Beides muss in fast allen Ländern zertifiziert werden – und zwar nicht nur die einzelne WLAN Karte, sondern die Kombination aus Gerät, Karte und Antennen. Diese Zertifizierungen macht der Hersteller für das Gerät mit den original lieferbaren Karten und muss in den entsprechenden Ländern dafür geradestehen, dass die Hardware am Ende in den Spezifikationen arbeitet, die zertifiziert wurden. Dies kann er aber gar nicht, wenn jeder beliebige Karten verbauen kann. Aus genau diesem Grund gibt es Whitelists.

    Andere Hersteller, die möglicherweise auch in anderen Märkten unterwegs sind, haben möglicherweise weniger Probleme damit oder sehen die Thematik lockerer.

  7. Flo sagt:

    Gibt es irgendwo im Internet eine Liste der Hersteller wo die PCI Device ID per Whitelisting überprüfen?

  8. Genau was Ingo sagt, so ist es.

    Lenovo, Dell, HP haben sowohl für Consumer als auch Business-Geräte eine Whitelist aus den schon genannten Gründen, das Teil ist eben so Zertifiziert worden CE und andere Restriktionen.

    Der Endkunde begreift das eher als Gängelung weil er das nicht versteht.
    Wer unbedingt will kann auch das noch oft umgehen, gemoddetes Bios oder andere Tricks.

  9. STawAlKa sagt:

    Moin moin,
    Ich habe mit meinem ThinkPad E330 auch die Erfahrung machen müssen, dass eine andere WLAN-Karte nicht funktioniert. Das Beste daran ist aber, dass ich eine (mittlerweile zwei) Karte von der Kompatibilitätsliste bei Lenovo habe. (Intel wimax 6250) Offenbar bezieht sich Lenovo immer auf diese komische FRU-Nummer, die mit der Whitelist abgeglichen wird. Die eine Karte hat keine FRU-Nummer, weil nicht von Lenovo gebrandet und die andere hat zwar eine FRU, hat aber scheinbar die falsche FRU bekommen, weil sie für ein anderes Notebook gedacht ist.
    Da ich keine Garantie mehr auf dem Gerät habe, will mir Lenovo auch nicht helfen und das BIOS-modding ist mal echt unseriös. Man bekommt im Forum eine wortkarge PM in der steht, dass man eine ausführbare Datei von irgendeinem Share-Hoster laden soll, bei der auf Virustotal.com ALLE Virenscanner anschlagen! Der 1802-Patch, den man bekommt funktioniert auf meinem Gerät leider auch nicht.

    Auch wenn ich nachvollziehen kann, dass die Hersteller das für die Zertifizierung ihrer Geräte tun, frage ich mich ernsthaft, warum es nicht (von mir aus auch mit dem Hinweis auf Garantieverfall) abgeschaltet werden kann? Port ist Standard, die Karten sind Standard und schlussendlich ist es doch eigentlich nur die Frage, ob es für das jeweilige OS auch einen Treiber gibt!? Sehr frustrierendes Thema…

    MfG
    STawAlKa

  10. fakeraol sagt:

    Hat mit der FRU nix zu tun, die ist nur für die Ersatzteilverwaltung. Das Whitelisting funktioniert, wie auch jede andere Hardwarewerkennung, über die Hardweare-ID, die man unter Windows im Gerätemanager bei den Eigenschaften des Gerätes im Reiter „Details“, im „Eigenschaften“-Dropdown findet.
    Die setzt sich meist aus der Bezeichnung des Busses zusammen, an dem das Gerät intern hängt, dann kommt „VEN_“ (Vendor = Hersteller), die 4 stellige Herstellerkennung, „DEV_“ (Device = Gerät), 4 stellige Gerätekennung, weitere Parameter.
    Je exakter diese Kennung mit der in der *inf-Datei des Treibers übereinstimmt, als desto passender sieht Windows den Treiber dafür an.

    Die Nicht-Original-Lenovo-Erweiterungskarten haben trotz gleicher Hardware einfach eine andere Hardware-ID, so daß sie vom Bios nicht akzeptiert werden.
    3 Lösungen:
    1) Hardware-ID der Karte patchen.
    2) Hardware-ID der Karte in das Bios reinpatchen.
    3) den ganzen Whitelist-Mechanismus im Bios deaktivieren (patchen), so daß jede Karte akzeptiert wird.
    Oder alternativ 4) damit leben, das es nicht geht.

    Im MyDigitalLive-Forum gibts auch Hilfe dazu.

  11. Tibor Simandi-Kallay sagt:

    Erst mal vielen Dank für diesen Beitrag hier und den Hinweis auf die Seite, wo man gepatchte BIOS Versionen bekommt.

    Bei einem Lenovo Thinkpad Edge E520 war genau das Problem vorhanden, dass das Gerät keine moderneren WLAN Karten mit 802.11ac akzeptiert,weil 2011 dieses Protokoll noch gar nicht existiert hat und 802.11n noch in den Kinderschuhen steckte.

    Ohne diesen BIOS Patch (weder Lenovo noch der Händler wollten helfen) wären Down- und Upload via WLAN auf 50 Mbit beschränkt geblieben.

    Vor allem wenn diese Geräte alt sind und man sie nochmal aufrüsten möchte mauern die Hersteller. Ob so ein Verhalten dem Image nutzt wage ich zu bezweifeln.

    Der Lenovo werkelt izwischen mit Windows 11 und dank Patch geht das Internet nun auch schnell genug. Vielen Dank nochmal an dieses Forum!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert