15Aug
Niewiele osób zauważyło w tym czasie, ale firma Microsoft dodała nową funkcję do systemu Windows 8, która umożliwia producentom infekowanie oprogramowania układowego UEFI za pomocą crapware. Windows będzie kontynuował instalowanie i wskrzeszanie tego niepotrzebnego oprogramowania nawet po wykonaniu czystej instalacji.
Ta funkcja jest nadal obecna w systemie Windows 10 i jest całkowicie tajemnicza, dlaczego Microsoft dałby producentom komputerów tak wielką moc. Podkreśla znaczenie zakupu komputerów ze sklepu Microsoft Store - nawet wykonanie czystej instalacji może nie pozbyć się całego zainstalowanego fabrycznie oprogramowania bloatware.
WPBT 101
Począwszy od Windows 8, producent komputerów PC może osadzić program - plik Windows. exe, zasadniczo - w oprogramowaniu UEFI komputera PC.Jest to przechowywane w sekcji "Windows Platform Binary Table"( WPBT) oprogramowania układowego UEFI.Po każdym uruchomieniu systemu Windows przegląda oprogramowanie układowe UEFI dla tego programu, kopiuje je z oprogramowania układowego na dysk systemu operacyjnego i uruchamia go. Sam system Windows nie ma możliwości, aby temu zapobiec. Jeśli producent oprogramowania UEFI je oferuje, system Windows uruchomi go bez żadnych wątpliwości.
LSE i jego zabezpieczenia Otwory
Nie można pisać o tej wątpliwej funkcji bez zauważenia przypadku, który zwrócił na nią uwagę opinii publicznej. Lenovo dostarczyło różne komputery z włączonym mechanizmem "Lenovo Service Engine"( LSE).Oto, co według Lenovo jest pełną listą zagrożonych komputerów.
Gdy program jest automatycznie uruchamiany przez system Windows 8, aparat serwisowy Lenovo pobiera program o nazwie OneKey Optimizer i zgłasza pewną ilość danych z powrotem do Lenovo. Firma Lenovo tworzy usługi systemowe przeznaczone do pobierania i aktualizowania oprogramowania z Internetu, co uniemożliwia ich usunięcie - a nawet automatycznie wróci po czystej instalacji systemu Windows.
Lenovo poszło jeszcze dalej, rozszerzając tę podejrzaną technikę na Windows 7. Oprogramowanie UEFI sprawdza plik C: \ Windows \ system32 \ autochk.exe i nadpisuje go własną wersją Lenovo. Ten program działa podczas rozruchu, aby sprawdzić system plików w systemie Windows, a ta sztuczka pozwala Lenovo na sprawienie, że ta paskudna praktyka działa również na systemie Windows 7.Po prostu pokazuje, że WPBT nie jest nawet potrzebny - producenci komputerów mogli po prostu mieć swoje oprogramowanie sprzętowe nadpisywać pliki systemowe Windows.
Microsoft i Lenovo odkryły dużą lukę w zabezpieczeniach, którą można wykorzystać, więc Lenovo z wdzięcznością zaprzestało wysyłania komputerów z tymi paskudnymi śmieciami. Lenovo oferuje aktualizację, która usunie LSE z komputerów przenośnych i aktualizację, która usunie LSE z komputerów stacjonarnych. Jednak nie są one automatycznie pobierane i instalowane, więc wiele - prawdopodobnie najbardziej dotkniętych komputerów Lenovo - nadal będzie instalować te śmieci w ich oprogramowaniu UEFI.
Jest to po prostu kolejny nieprzyjemny problem bezpieczeństwa od producenta komputera, który przyniósł nam komputery zainfekowane Superfish. Nie jest jasne, czy inni producenci komputerów PC nadużyli WPBT w podobny sposób na niektórych komputerach.
Co Microsoft mówi o tym?
Jak zauważa Lenovo:
"Firma Microsoft opublikowała niedawno zaktualizowane wskazówki bezpieczeństwa dotyczące najlepszego sposobu implementacji tej funkcji. Korzystanie z LSE przez firmę Lenovo nie jest zgodne z tymi wytycznymi, dlatego firma Lenovo przestała wysyłać modele komputerów stacjonarnych za pomocą tego narzędzia i zaleca klientom z włączonym tym narzędziem uruchomienie narzędzia "czyszczenia", które usuwa pliki LSE z pulpitu. "
Innymi słowy, Funkcja Lenovo LSE, która używa WPBT do pobierania śmieci z Internetu, była dozwolona w oryginalnym projekcie Microsoft i wytycznych dla funkcji WPBT.Wytyczne zostały dopiero udoskonalone.
Firma Microsoft nie oferuje zbyt wielu informacji na ten temat. W witrynie Microsoftu jest tylko jeden plik. docx - nawet strona internetowa z informacjami o tej funkcji. Możesz dowiedzieć się wszystkiego, co chcesz na ten temat, czytając dokument. Wyjaśnia uzasadnienie Microsoftu dotyczące włączenia tej funkcji, wykorzystując na przykład trwałe oprogramowanie antywłamaniowe:
"Głównym celem WPBT jest umożliwienie utrzymywania krytycznego oprogramowania nawet po zmianie lub ponownym zainstalowaniu systemu operacyjnego w" czystej "konfiguracji. Jednym z przypadków użycia WPBT jest włączenie oprogramowania zabezpieczającego przed kradzieżą, które musi przetrwać w przypadku, gdy urządzenie zostało skradzione, sformatowane i ponownie zainstalowane. W tym scenariuszu funkcja WPBT zapewnia możliwość ponownego zainstalowania oprogramowania zabezpieczającego przed kradzieżą w systemie operacyjnym i kontynuowania pracy zgodnie z przeznaczeniem. "
Ta obrona funkcji została dodana do dokumentu dopiero po tym, jak Lenovo użyło go do innych celów.
Czy twój komputer zawiera oprogramowanie WPBT?
Na komputerach PC korzystających z WPBT Windows odczytuje dane binarne z tabeli w oprogramowaniu UEFI i kopiuje je do pliku o nazwie wpbbin.exe podczas rozruchu.
Możesz sprawdzić swój komputer, aby sprawdzić, czy producent włączył oprogramowanie do WPBT.Aby się tego dowiedzieć, otwórz katalog C: \ Windows \ system32 i odszukaj plik wpbbin.exe .Plik C: \ Windows \ system32 \ wpbbin.exe istnieje tylko wtedy, gdy system Windows kopiuje go z oprogramowania układowego UEFI.Jeśli go nie ma, producent komputera nie użył WPBT do automatycznego uruchamiania oprogramowania na komputerze.
Unikanie WPBT i innych programów typu Junkware
Firma Microsoft ustanowiła kilka dodatkowych reguł dla tej funkcji w związku z nieodpowiedzialną awarią bezpieczeństwa Lenovo. Ale jest to zaskakujące, że ta funkcja w ogóle istnieje - a szczególnie zaskakuje to, że Microsoft dostarczy ją producentom komputerów PC bez żadnych wyraźnych wymagań bezpieczeństwa lub wytycznych dotyczących jej użycia.
Zmienione wytyczne zalecają producentom OEM zapewnienie użytkownikom możliwości wyłączenia tej funkcji, jeśli jej nie chcą, ale wytyczne firmy Microsoft nie powstrzymały producentów komputerów przed nadużywaniem zabezpieczeń systemu Windows w przeszłości. Sprawdź, czy komputery wysyłkowe Samsung z wyłączoną funkcją Windows Update są wyłączone, ponieważ było to łatwiejsze niż współpraca z firmą Microsoft w celu zapewnienia, że odpowiednie sterowniki zostały dodane do witryny Windows Update.
Jest to kolejny przykład producentów komputerów niepoważnie traktujących bezpieczeństwo systemu Windows. Jeśli planujesz zakup nowego komputera z systemem Windows, zalecamy zakupienie go ze sklepu Microsoft. Microsoft naprawdę dba o te komputery i zapewnia, że nie ma szkodliwego oprogramowania, takiego jak Lenovo's Superfish, Samsung Disable_WindowsUpdate.exe, funkcja LSE firmy Lenovo,i wszystkie inne śmieci, z których może korzystać typowy komputer.
Kiedy pisaliśmy to w przeszłości, wielu czytelników odpowiedziało, że jest to niepotrzebne, ponieważ zawsze możesz po prostu wykonać czystą instalację systemu Windows, aby pozbyć się nadużywania. Cóż, najwyraźniej nie jest to prawdą - jedyny pewny sposób na uzyskanie wolnego od napadów Windowsa komputera z systemem Windows pochodzi ze sklepu Microsoft. Nie powinno tak być, ale tak jest.
Co jest szczególnie niepokojące w WPBT, to nie tylko całkowite niepowodzenie Lenovo w wykorzystywaniu go do upuszczania luk w zabezpieczeniach i śmieciowego oprogramowania do czystych instalacji systemu Windows. Szczególnie niepokojące jest to, że Microsoft zapewnia takie funkcje producentom komputerów - przede wszystkim bez odpowiednich ograniczeń i wskazówek.
Minęło kilka lat zanim ta funkcja została zauważona wśród szerszego świata technologii, a stało się tak tylko z powodu nieprzyjemnej luki w zabezpieczeniach. Kto wie, jakie inne paskudne funkcje są wypalane w systemie Windows, aby producenci komputerów mogli nadużywać.Producenci komputerów przenoszą reputację Windowsa przez błoto, a Microsoft musi je kontrolować.
Image Credit: Cory M. Grenier w serwisie Flickr