15Aug
Poucas pessoas perceberam no momento, mas a Microsoft adicionou um novo recurso ao Windows 8 que permite que os fabricantes infectem o firmware UEFI com crapware. O Windows continuará instalando e ressuscitando esse software junk, mesmo depois de executar uma instalação limpa.
Este recurso continua a estar presente no Windows 10, e é absolutamente desconfiado porque a Microsoft daria aos fabricantes de PC tanto poder. Ele destaca a importância de comprar PCs da Microsoft Store - até mesmo executar uma instalação limpa pode não se livrar de todos os bloatware pré-instalados.
WPBT 101
Começando com o Windows 8, um fabricante de PC pode incorporar um programa - um arquivo. exe do Windows, essencialmente - no firmware UEFI do PC.Isso é armazenado na seção "Windows Platform Binary Table"( WPBT) do firmware UEFI.Sempre que o Windows é carregado, olha para o firmware UEFI para este programa, o copia do firmware para a unidade do sistema operacional e o executa. O próprio Windows não fornece nenhuma maneira de impedir que isso aconteça. Se o firmware UEFI do fabricante o oferecer, o Windows irá executá-lo sem dúvida.
LSE da Lenovo e seus orifícios de segurança
É impossível escrever sobre esse recurso questionável sem observar o caso que o levou à atenção pública. A Lenovo enviou uma variedade de PCs com algo chamado "Lenovo Service Engine"( LSE) ativado. Aqui está o que a Lenovo afirma que é uma lista completa de PCs afetadas.
Quando o programa é executado automaticamente pelo Windows 8, o Lenovo Service Engine baixa um programa chamado OneKey Optimizer e relata alguns dados de volta para a Lenovo. A Lenovo configura serviços de sistema projetados para baixar e atualizar software da Internet, tornando impossível removê-los - eles voltarão automaticamente depois de uma instalação limpa do Windows.
Lenovo foi ainda mais longe, estendendo esta técnica sombria ao Windows 7. O firmware UEFI verifica o arquivo C: \ Windows \ system32 \ autochk.exe e sobrescreve-o com a própria versão da Lenovo. Este programa é executado no boot para verificar o sistema de arquivos no Windows, e esse truque permite que a Lenovo também faça esta prática desagradável no Windows 7.Isso apenas mostra que o WPBT nem é necessário - os fabricantes de PCs podem simplesmente ter seus firmwares substituir os arquivos do sistema Windows.
A Microsoft e a Lenovo descobriram uma grande vulnerabilidade de segurança com isso que pode ser explorada, então a Lenovo felizmente parou de enviar PCs com essa lixo desagradável. A Lenovo oferece uma atualização que removerá o LSE dos computadores portáteis e uma atualização que irá remover o LSE dos PCs de mesa. No entanto, estes não são baixados e instalados automaticamente, muitos - provavelmente os PCs Lenovo mais afetados continuarão a ter esse lixo instalado no firmware UEFI.
Este é apenas outro problema de segurança desagradável do fabricante de PC que nos levou PCs infectados com Superfish. Não está claro se outros fabricantes de PCs abusaram do WPBT de maneira semelhante em algumas de suas PCs.
O que a Microsoft diz sobre isso?
Como a Lenovo observa:
"A Microsoft lançou recentemente diretrizes de segurança atualizadas sobre como implementar melhor esse recurso. O uso da LSE pela Lenovo não é consistente com essas diretrizes e, portanto, a Lenovo parou de enviar modelos de desktop com este utilitário e recomenda que os clientes com este utilitário habilitem executar um utilitário de limpeza que remova os arquivos LSE da área de trabalho. "
Em outras palavras, O recurso Lenovo LSE que usa o WPBT para baixar junkware da Internet foi permitido sob o design original da Microsoft e as diretrizes para o recurso WPBT.As diretrizes foram agora refinadas.
A Microsoft não oferece muita informação sobre isso. Há apenas um único arquivo. docx - nem mesmo uma página da Web - no site da Microsoft com informações sobre esse recurso. Você pode aprender tudo o que deseja sobre isso lendo o documento. Isso explica o raciocínio da Microsoft para incluir esse recurso, usando o software anti-roubo persistente como exemplo:
"O objetivo principal do WPBT é permitir que o software crítico persista mesmo quando o sistema operacional foi alterado ou reinstalado em uma configuração" limpa ".Um caso de uso para WPBT é habilitar o software anti-roubo que é necessário para persistir no caso de um dispositivo ter sido roubado, formatado e reinstalado. Neste cenário, a funcionalidade WPBT oferece a capacidade do software anti-roubo de reinstalar-se no sistema operacional e continuar a funcionar como pretendido. "
Esta defesa do recurso só foi adicionada ao documento depois que a Lenovo o usou para outros fins.
O seu PC inclui o software WPBT?
Nos PCs que utilizam o WPBT, o Windows lê os dados binários da tabela no firmware UEFI e copia-o para um arquivo chamado wpbbin.exe no arranque.
Você pode verificar seu próprio PC para ver se o fabricante incluiu software no WPBT.Para descobrir, abra o diretório C: \ Windows \ system32 e procure um arquivo chamado wpbbin.exe .O arquivo C: \ Windows \ system32 \ wpbbin.exe só existe se o Windows o copiar do firmware UEFI.Se não estiver presente, o fabricante do seu PC não usou o WPBT para executar automaticamente o software no seu PC.
Evitando WPBT e outros Junkware
A Microsoft configurou mais algumas regras para esse recurso na sequência da falha de segurança irrestrita da Lenovo. Mas é desconcertante que esse recurso ainda exista em primeiro lugar - e especialmente desconcertante que a Microsoft iria fornecer aos fabricantes de PCs sem requisitos de segurança claros ou diretrizes sobre seu uso.
As diretrizes revisadas instruem os OEMs para garantir que os usuários possam realmente desativar esse recurso se não o quiserem, mas as diretrizes da Microsoft não impediram os fabricantes de PC de abusar da segurança do Windows no passado. Testemunhe os PCs de envio da Samsung com o Windows Update desabilitado porque isso foi mais fácil do que trabalhar com a Microsoft para garantir que os drivers apropriados fossem adicionados ao Windows Update.
Este é mais um exemplo de fabricantes de PC que não levam a sério a segurança do Windows. Se você está planejando comprar um novo PC com Windows, recomendamos que você compre um da Microsoft Store, a Microsoft realmente se preocupa com esses PCs e garante que eles não possuem software prejudicial, como o Superfish da Lenovo, o Disable_WindowsUpdate.exe da Samsung, o recurso LSE da Lenovo,e todos os outros junk, um PC típico pode vir.
Quando escrevemos isso no passado, muitos leitores responderam que isso era desnecessário porque você sempre poderia simplesmente executar uma instalação limpa do Windows para se livrar de qualquer bloatware. Bem, aparentemente isso não é verdade - a única maneira infalível de obter um PC com Windows sem bloatware é da Microsoft Store. Não deve ser assim, mas é.
O que é particularmente preocupante sobre o WPBT não é apenas a falha completa da Lenovo ao usá-lo para garantir vulnerabilidades de segurança e junkware em instalações limpas do Windows. O que é especialmente preocupante é que a Microsoft fornece recursos como esses aos fabricantes de PCs em primeiro lugar - especialmente sem limitações ou orientações adequadas.
Também demorou vários anos até que esta característica tenha se tornado notável no mundo da tecnologia, e isso só aconteceu devido a uma vulnerabilidade de segurança desagradável. Quem sabe o que outras características desagradáveis são assadas no Windows para que os fabricantes de PCs abusem. Os fabricantes de PC estão arrastando a reputação do Windows através da muck e a Microsoft precisa controlá-los.
Crédito da imagem: Cory M. Grenier no Flickr
