Zombie Crapware Jak działa platforma binarna platformy Windows
Niewiele osób zauważyło w tym czasie, ale Microsoft dodał nową funkcję do systemu Windows 8, która pozwala producentom infekować oprogramowanie układowe UEFI za pomocą crapware. System Windows będzie kontynuował instalowanie i wskrzeszanie tego niepotrzebnego oprogramowania nawet po wykonaniu czystej instalacji.
Ta funkcja jest nadal obecna w systemie Windows 10 i jest absolutnie tajemnicą, dlaczego Microsoft dałby producentom komputerów tak wielką moc. Podkreśla znaczenie zakupu komputerów ze sklepu Microsoft Store - nawet wykonanie czystej instalacji może nie pozbyć się całego preinstalowanego oprogramowania bloatware.
WPBT 101
Począwszy od Windows 8, producent komputerów PC może osadzić program - plik Windows .exe, zasadniczo - w oprogramowaniu UEFI komputera PC. Jest to przechowywane w sekcji "Windows Platform Binary Table" (WPBT) oprogramowania układowego UEFI. Po każdym uruchomieniu systemu Windows przegląda oprogramowanie układowe UEFI dla tego programu, kopiuje je z oprogramowania układowego na dysk systemu operacyjnego i uruchamia go. Sam system Windows nie ma możliwości, aby temu zapobiec. Jeśli producent oprogramowania UEFI oferuje to, Windows uruchomi go bez pytania.
Lenovo LSE i jego otwory bezpieczeństwa
Nie można pisać o tej budzącej wątpliwości funkcji, nie zauważając przypadku, który zwrócił na nią publiczną uwagę. Lenovo dostarczyło wiele komputerów z włączonym mechanizmem "Lenovo Service Engine" (LSE). Oto, co twierdzi Lenovo, to pełna lista zainfekowanych komputerów.
Gdy program jest automatycznie uruchamiany przez system Windows 8, aparat serwisowy Lenovo pobiera program o nazwie OneKey Optimizer i zgłasza pewną ilość danych z powrotem do Lenovo. Lenovo tworzy usługi systemowe przeznaczone do pobierania i aktualizacji oprogramowania z Internetu, uniemożliwiając ich usunięcie - nawet automatycznie wróci po czystej instalacji systemu Windows.
Lenovo poszło jeszcze dalej, rozszerzając tę podejrzaną technikę na Windows 7. Oprogramowanie układowe UEFI sprawdza plik C: \ Windows \ system32 \ autochk.exe i nadpisuje go własną wersją Lenovo. Ten program jest uruchamiany podczas rozruchu w celu sprawdzenia systemu plików w systemie Windows, a ta sztuczka pozwala Lenovo na sprawdzenie, czy ta paskudna praktyka działa również w systemie Windows 7. Po prostu pokazuje, że WPBT nie jest nawet potrzebny - producenci komputerów mogliby po prostu mieć swoje oprogramowanie sprzętowe nadpisywać pliki systemowe Windows.
Microsoft i Lenovo wykryły poważną lukę w zabezpieczeniach, która może zostać wykorzystana, więc Lenovo z wdzięcznością zaprzestało wysyłania komputerów z tymi paskudnymi śmieciami. Lenovo oferuje aktualizację, która usunie LSE z komputerów przenośnych i aktualizację, która usunie LSE z komputerów stacjonarnych. Jednak nie są one automatycznie pobierane i instalowane, więc wiele - prawdopodobnie najbardziej dotkniętych komputerów Lenovo - nadal będzie instalować te śmieci w ich oprogramowaniu UEFI.
To tylko kolejny nieprzyjemny problem bezpieczeństwa od producenta komputera, który przyniósł nam komputery zainfekowane Superfish. Nie jest jasne, czy inni producenci komputerów PC nadużyli WPBT w podobny sposób na niektórych komputerach.
Co Microsoft mówi o tym?
Jak zauważa Lenovo:
"Firma Microsoft opublikowała niedawno zaktualizowane wskazówki bezpieczeństwa dotyczące najlepszego sposobu implementacji tej funkcji. Korzystanie z LSE przez firmę Lenovo jest niezgodne z tymi wytycznymi, dlatego firma Lenovo przestała wysyłać modele komputerów stacjonarnych za pomocą tego narzędzia i zaleca klientom z włączonym tym narzędziem uruchomienie narzędzia "czyszczenia", które usuwa pliki LSE z komputera. "
Innymi słowy, funkcja Lenovo LSE, która używa WPBT do pobierania niechcianego oprogramowania z Internetu, była dozwolona w oryginalnym projekcie Microsoft i wytycznych dla funkcji WPBT. Wytyczne zostały dopiero udoskonalone.
Microsoft nie oferuje zbyt wielu informacji na ten temat. W witrynie firmy Microsoft jest tylko jeden plik .docx - nawet strona internetowa z informacjami o tej funkcji. Możesz dowiedzieć się wszystkiego, co chcesz na ten temat, czytając dokument. Wyjaśnia uzasadnienie Microsoftu dotyczące włączenia tej funkcji, wykorzystując na przykład trwałe oprogramowanie antywłamaniowe:
"Podstawowym celem WPBT jest umożliwienie utrzymywania krytycznego oprogramowania nawet po zmianie lub ponownej instalacji systemu operacyjnego w" czystej "konfiguracji. Jednym z przykładów użycia WPBT jest włączenie oprogramowania zabezpieczającego przed kradzieżą, które jest wymagane, aby przetrwać w przypadku, gdy urządzenie zostało skradzione, sformatowane i ponownie zainstalowane. W tym scenariuszu funkcja WPBT zapewnia możliwość ponownego zainstalowania oprogramowania zabezpieczającego przed kradzieżą w systemie operacyjnym i kontynuowania pracy zgodnie z przeznaczeniem. "
Ta obrona funkcji została dodana do dokumentu dopiero po tym, jak Lenovo użyło go do innych celów.
Czy Twój komputer zawiera oprogramowanie WPBT?
Na komputerach PC korzystających z WPBT, Windows odczytuje dane binarne z tabeli w oprogramowaniu UEFI i kopiuje je do pliku o nazwie wpbbin.exe podczas uruchamiania.
Możesz sprawdzić swój komputer, aby sprawdzić, czy producent włączył oprogramowanie do WPBT. Aby się tego dowiedzieć, otwórz katalog C: \ Windows \ system32 i odszukaj plik o nazwie wpbbin.exe. Plik C: \ Windows \ system32 \ wpbbin.exe istnieje tylko wtedy, gdy system Windows kopiuje go z oprogramowania układowego UEFI. Jeśli go nie ma, producent komputera nie użył WPBT do automatycznego uruchamiania oprogramowania na komputerze.
Unikanie WPBT i innych programów typu Junkware
Firma Microsoft ustanowiła kilka dodatkowych reguł dla tej funkcji w związku z nieodpowiedzialną awarią bezpieczeństwa Lenovo. Ale jest to zaskakujące, że ta funkcja w ogóle istnieje - a szczególnie zaskakujące, że Microsoft dostarczy ją producentom komputerów PC bez żadnych wyraźnych wymagań bezpieczeństwa lub wytycznych dotyczących jej użycia.
Zmienione wytyczne zalecają producentom OEM zapewnienie użytkownikom możliwości wyłączenia tej funkcji, jeśli jej nie chcą, ale wytyczne firmy Microsoft nie powstrzymały producentów komputerów przed nadużywaniem zabezpieczeń systemu Windows w przeszłości. Sprawdź, czy komputery wysyłkowe Samsung z wyłączoną funkcją Windows Update są wyłączone, ponieważ było to łatwiejsze niż współpraca z firmą Microsoft w celu zapewnienia, że odpowiednie sterowniki zostały dodane do witryny Windows Update.
Jest to kolejny przykład poważnego nieprzestrzegania zabezpieczeń systemu przez producentów komputerów. Jeśli planujesz zakup nowego komputera z systemem Windows, zalecamy zakupienie go w sklepie Microsoft. Microsoft naprawdę dba o te komputery i zapewnia, że nie ma szkodliwego oprogramowania, takiego jak Lenovo's Superfish, Samsung Disable_WindowsUpdate.exe, funkcja LSE firmy Lenovo, i wszystkie inne śmieci, z których mógłby korzystać typowy komputer.
Kiedy pisaliśmy to w przeszłości, wielu czytelników odpowiedziało, że jest to niepotrzebne, ponieważ zawsze można po prostu wykonać czystą instalację systemu Windows, aby pozbyć się wszelkich nadużyć. Cóż, najwyraźniej nie jest to prawdą - jedyny pewny sposób na otrzymanie bezpłatnego komputera z systemem Windows pochodzi ze sklepu Microsoft. Nie powinno tak być, ale tak jest.
Szczególnie niepokojące w WPBT jest nie tylko całkowite niepowodzenie Lenovo polegające na upuszczaniu luk w zabezpieczeniach i oprogramowaniu typu junkware na czyste instalacje systemu Windows. Szczególnie niepokojące jest to, że Microsoft zapewnia takie funkcje producentom komputerów - przede wszystkim bez odpowiednich ograniczeń i wskazówek.
Minęło kilka lat zanim ta funkcja została zauważona wśród szerszego świata technologii, a stało się tak jedynie z powodu nieprzyjemnej luki w zabezpieczeniach. Kto wie, jakie inne nieprzyjemne funkcje są wypalane w systemie Windows, aby producenci komputerów mogli nadużywać. Producenci komputerów przenoszą reputację systemu Windows przez błoto, a Microsoft musi je kontrolować.
Image Credit: Cory M. Grenier na Flickr