15Aug

Zombie Crapware: Kako deluje binarna tabela operacijskega sistema Windows Platform

lenovo

Nekateri ljudje so takrat opazili, vendar je Microsoftu dodal novo funkcijo operacijskemu sistemu Windows 8, ki proizvajalcem omogoča, da okužijo UEFI firmware s crapware. Windows bo nadaljeval z nameščanjem in vnovično vzpostavitvijo te programske opreme, tudi po izvedbi čiste namestitve.

Ta funkcija je še vedno prisotna v operacijskem sistemu Windows 10 in popolnoma napaka pri tem, da bi Microsoft proizvajalcem računalnika dala toliko moči. Poudarja pomembnost nakupa osebnih računalnikov iz Microsoftove trgovine - celo izvedba čiste namestitve se ne more znebiti vseh vnaprej nameščenih bloatware-a.

WPBT 101

Začetek s sistemom Windows 8 lahko izdelovalec računalnika vgrajuje program - datoteko Windows. exe, v bistvu - v strojno programsko opremo UEFI računalnika. To je shranjeno v razdelku »Windows Binary Table Table«( WPBT) platforme firmwarea UEFI.Vsakič, ko se Windows zažene, si ogleda vdelano programsko opremo UEFI za ta program, jo ​​kopira iz strojne programske opreme v pogon operacijskega sistema in ga zažene. Windows sama ne ponuja nobenega načina za preprečitev tega.Če bo proizvajalčeva programska oprema UEFI to ponudila, jo bo Windows brezžično zagnal.

Lenovo LSE in njene varnostne luknje

Nemogoče je pisati o tej dvomljivi funkciji, ne da bi omenili primer, ki je pripeljal do javnosti. Družba Lenovo je poslala različne osebne računalnike z omogočeno funkcijo »Service Engine Engine«( LSE).Tukaj je tisto, kar trdi Lenovo, popoln seznam prizadetih osebnih računalnikov.

Ko program samodejno zažene operacijski sistem Windows 8, Lenovo Service Engine prenese program, imenovan OneKey Optimizer, in sporoči nekaj podatkov nazaj Lenovou. Lenovo nastavi sistemske storitve, namenjene prenosu in posodabljanju programske opreme iz interneta, zaradi česar je nemogoče odstraniti - tudi po sami namestitvi operacijskega sistema Windows se bodo samodejno vrnile.

Lenovo je šla še dlje, razširila to senco tehniko na Windows 7. Uefi firmware preveri datoteko C: \ Windows \ system32 \ autochk.exe in jo prepiše z lastno različico družbe Lenovo. Ta program deluje ob zagonu, da preveri datotečni sistem v sistemu Windows, in ta trik omogoča Lenovo, da to grdo prakso dela tudi na sistemu Windows 7.Samo kaže, da WPBT sploh ni potreben - proizvajalci računalnikov bi lahko samo imeli svoje firmwares prepisati sistemske datoteke sistema Windows.

Microsoft in Lenovo sta odkrili veliko varnostno ranljivost s tem, ki jo je mogoče izkoriščati, zato je Lenovo zahvalil prenehanje ladijskim osebnim računalnikom s to grdo junk. Lenovo ponuja posodobitev, ki bo odstranila LSE iz prenosnih računalnikov in posodobitev, ki bo odstranila LSE iz namiznih računalnikov. Vendar se ti ne prenesejo in ne nameščajo samodejno, tako da bodo številni - verjetno najbolj prizadeti Lenovo-jevi osebni računalniki še naprej imeli ta strežnik nameščen v njihovi vdelani programski opremi UEFI.

To je samo še ena težavna varnostna težava proizvajalca računalnika, ki nam je prinesla osebne računalnike, okužene z Superfishom. Ni jasno, ali so drugi proizvajalci računalnikov zlorabili WPBT na podoben način na nekaterih svojih računalnikov.

Kaj Microsoft pravi o tem?

Kot ugotavlja družba Lenovo:

"Microsoft je nedavno objavil posodobljene varnostne smernice o tem, kako najbolje izvajati to funkcijo. Uporaba LSE podjetja Lenovo ni v skladu s temi smernicami, zato je Lenovo prenehal pošiljati namizne modele s tem pripomočkom in priporoča strankam, ki omogočajo to orodje, zagnati pripomoček »čiščenje«, ki odstranjuje datoteke LSE z namizja. «

Z drugimi besedami,funkcija Lenovo LSE, ki uporablja WPBT za prenos junkware iz interneta, je bila dovoljena v izvirnem modelu podjetja Microsoft in smernicah za funkcijo WPBT.Smernice so šele zdaj izpopolnjene.

Microsoft ne ponuja veliko informacij o tem. Obstaja samo ena datoteka. docx - sploh ne spletna stran - na Microsoftovi spletni strani z informacijami o tej funkciji. Vse, kar želite o tem, se lahko naučite z branjem dokumenta. Pojasnjuje Microsoftovo utemeljitev za vključitev te funkcije z uporabo stalne protivirusne programske opreme kot primera:

"Glavni namen WPBT je omogočiti, da se kritična programska oprema vztraja, tudi če je operacijski sistem spremenil ali je bil ponovno nameščen v" čisti "konfiguraciji. En primer uporabe za WPBT je omogočiti protivirusno programsko opremo, ki jo je treba vztrajati, če je bila naprava ukradena, oblikovana in ponovno nameščena. V tem scenariju funkcionalnost WPBT omogoča zmožnost programske opreme proti kraji, da se ponovno namesti v operacijski sistem in še naprej deluje, kot je bilo predvideno. "

Ta zaščita funkcije je bila dodana v dokument, potem ko jo je Lenovo uporabil za druge namene.

Ali vaš računalnik vključuje programsko opremo WPBT?

Na osebnih računalnikih, ki uporabljajo WPBT, Windows bere podatke iz tabele v firmwareu UEFI in jih kopira v datoteko z imenom wpbbin.exe ob zagonu.

Lahko preverite svoj osebni računalnik in preverite, ali je proizvajalec vključil programsko opremo v WPBT.Če želite izvedeti, odprite imenik C: \ Windows \ system32 in poiščite datoteko z imenom wpbbin.exe .Datoteka C: \ Windows \ system32 \ wpbbin.exe obstaja le, če jo Windows kopira iz strojne programske opreme UEFI.Če ni prisoten, vaš proizvajalec računalnika ni uporabil WPBT za samodejno zagonsko programsko opremo v računalniku.

Izogibanje WPBT in drugih Junkware

Microsoft je za to funkcijo določil še nekaj pravil, ki so sledili neodgovorni varnosti družbe Lenovo. Vendar pa je zaskrbljujoče, da ta funkcija celo obstaja, in predvsem zaskrbljujoče, da bi ga Microsoft priskrbel proizvajalcem računalnikov brez jasnih varnostnih zahtev ali smernic za njegovo uporabo.

Revidirane smernice navodila proizvajalcem izdelkov, da zagotovijo, da lahko uporabniki dejansko onemogočijo to funkcijo, če jih ne želijo, vendar smernice Microsofta niso preprečile proizvajalcem računalnikov, da v preteklosti zlorabljajo varnost sistema Windows. Svetovalci za prenašanje izdelkov Samsung s sistemom Windows Update so onemogočili, ker je bilo to lažje kot delo z Microsoftom, da bi zagotovili, da so ustrezni gonilniki dodani v Windows Update.

To je še en primer proizvajalcev računalnikov, ki ne skrbijo resno za Windows.Če načrtujete nakup novega računalnika z operacijskim sistemom Windows, priporočamo, da ga kupite v trgovini Microsoft Store, Microsoft dejansko skrbi za te računalnike in zagotavlja, da nimajo škodljive programske opreme, kot so Lenovo Superfish, Disable_WindowsUpdate.exe Samsung, funkcija LSE podjetja Lenovo,in vsi drugi junk tipičen PC lahko pride s.

Ko smo to zapisali v preteklosti, so mnogi bralci odgovorili, da je to nepotrebno, saj lahko vedno izvedete čisto namestitev operacijskega sistema Windows, da bi se znebili kakršne koli bloatware-a. No, očitno to ni res - edini brezskrbni način, da dobite brezplačen Windows PC je iz Microsoftove trgovine. Ne bi smelo biti tako, ampak je.

Kaj je še posebej zaskrbljujoče glede WPBT, ni samo popolna napaka družbe Lenovo pri uporabi tega, da bi varnostne ranljivosti in junkware spravili v čiste namestitve operacijskega sistema Windows.Še posebej zaskrbljujoče je, da Microsoft ponuja prvotne funkcije proizvajalcem računalnikov - še posebej brez ustreznih omejitev ali smernic.

Prav tako je trajalo nekaj let, preden je ta funkcija postala opazna med širšim tehnološkim svetom, in to se je zgodilo samo zaradi grdega varnostnega ranljivosti. Kdo ve, katere druge grdo lastnosti so pečene v operacijskem sistemu Windows za proizvajalce računalnikov, da zlorabljajo. Proizvajalci osebnih računalnikov povlečete ugled Windowsa prek mikrofona in Microsoft jih mora nadzorovati.

Image Credit: Cory M. Grenier na Flickr