If-Koubou

Zombie Crapware: Cum functioneaza masina binara de platforma Windows

Zombie Crapware: Cum functioneaza masina binara de platforma Windows (Cum să)

Puține persoane au observat la momentul respectiv, dar Microsoft a adăugat o nouă caracteristică Windows 8, care le permite producătorilor să infecteze firmware-ul UEFI cu crapware. Windows va continua să instaleze și să resureze acest software nedorit, chiar și după ce efectuați o instalare curată.

Această caracteristică continuă să fie prezentă în Windows 10 și este absolut mistică de ce Microsoft ar da producătorilor de PC atât de multă putere. Acesta evidențiază importanța cumpărării de calculatoare de la Microsoft Store - chiar dacă efectuați o instalare curată, este posibil să nu scăpați de toate bloatware-ul preinstalat.

WPBT 101

Începând cu Windows 8, un producător de PC-uri poate încorpora un program - un fișier .exe Windows, în esență - în firmware-ul UEFI al PC-ului. Acesta este stocat în secțiunea "Platformă binară platformă Windows" (WPBT) a firmware-ului UEFI. De fiecare dată când rulează Windows, se uită la firmware-ul UEFI pentru acest program, îl copiază de la firmware la unitatea sistemului de operare și o rulează. Windows-ul în sine nu oferă nicio modalitate de a opri acest lucru. Dacă firmware-ul producătorului UEFI o oferă, Windows va rula fără probleme.

Lenovo LSE și găurile sale de securitate

Este imposibil să scriem despre această caracteristică discutabilă fără să menționăm cazul care a adus-o în atenția publicului. Lenovo a livrat o varietate de PC-uri cu ceva numit "Lenovo Service Engine" (LSE) activat. Iată ce pretinde Lenovo este o listă completă de PC-uri afectate.

Atunci când programul este rulat automat de Windows 8, Lenovo Service Engine descarcă un program numit OneKey Optimizer și raportează o cantitate de date înapoi la Lenovo. Lenovo instalează servicii de sistem concepute pentru a descărca și actualiza software-ul de pe Internet, făcându-se imposibil să le eliminați - chiar se vor întoarce automat după o instalare curată a Windows.

Lenovo a mers chiar mai departe, extind această tehnică umbroasă la Windows 7. Firmware-ul UEFI verifică fișierul C: \ Windows \ system32 \ autochk.exe și îl suprascrie cu versiunea proprie a Lenovo. Acest program rulează la boot pentru a verifica sistemul de fișiere de pe Windows, iar acest truc îi permite Lenovo să facă această practică urâtă și pe Windows 7. Este doar pentru a arăta că WPBT nu este nici măcar necesar - producătorii de PC-uri ar putea avea doar firmware-urile lor să suprascrie fișierele de sistem Windows.

Microsoft și Lenovo au descoperit o vulnerabilitate majoră în ceea ce privește securitatea cu acest lucru care poate fi exploatat, astfel încât Lenovo a încetat din plin să transporte PC-uri cu acest gunoi urât. Lenovo oferă o actualizare care va elimina LSE de la notebook-uri și o actualizare care va elimina LSE de pe PC-urile desktop. Cu toate acestea, acestea nu sunt descărcate și instalate automat, astfel încât multe - probabil cele mai afectate PC-uri Lenovo vor continua să aibă acest junk instalat în firmware-ul UEFI.

Aceasta este doar o altă problemă de securitate neplăcută de la producătorul de PC-uri care ne-a adus PC-uri infectate cu Superfish. Nu este clar dacă alți producători de PC-uri au abuzat WPBT într-un mod similar pe unele dintre PC-urile lor.

Ce spune Microsoft despre asta?

După cum observă Lenovo:

"Microsoft a lansat recent îndrumări de securitate actualizate cu privire la modul de implementare a acestei caracteristici. Utilizarea Lenovo de către LSE nu este în concordanță cu aceste linii directoare și astfel Lenovo a oprit livrarea modelelor desktop cu acest utilitar și recomandă clienților cu acest utilitar activ să execute un utilitar "curat" care elimină fișierele LSE de pe desktop. "

Cu alte cuvinte, caracteristica Lenovo LSE care folosește WPBT pentru a descărca junkware de pe Internet a fost permisă în conformitate cu designul și instrucțiunile originale ale Microsoft pentru caracteristica WPBT. Orientările au fost doar rafinate.

Microsoft nu oferă multe informații despre acest lucru. Există doar un singur fișier .docx - nici măcar o pagină web - pe site-ul Microsoft cu informații despre această caracteristică. Puteți afla tot ce doriți să citiți documentul. Aceasta explică rațiunea Microsoft pentru includerea acestei caracteristici, utilizând drept exemplu un software anti-furt persistent:

"Scopul principal al WPBT este să permită software-ului critic să persiste chiar și atunci când sistemul de operare sa schimbat sau a fost reinstalat într-o configurație" curată ". Un caz de utilizare pentru WPBT este de a permite software-ul anti-furt care trebuie să persiste în cazul în care un dispozitiv a fost furat, formatat și reinstalat. În acest scenariu, funcționalitatea WPBT oferă posibilitatea software-ului anti-furt să se reinstaleze în sistemul de operare și să continue să funcționeze conform destinației. "

Această apărare a acestei caracteristici a fost adăugată doar în document după ce Lenovo a folosit-o pentru alte scopuri.

PC-ul include software-ul WPBT?

Pe PC-urile care utilizează WPBT, Windows citește datele binare din tabel în firmware-ul UEFI și o copiază într-un fișier numit wpbbin.exe la boot.

Puteți verifica PC-ul propriu pentru a vedea dacă producătorul a inclus software-ul în WPBT. Pentru a afla, deschideți directorul C: \ Windows \ system32 și căutați un fișier numitwpbbin.exe. Fișierul C: \ Windows \ system32 \ wpbbin.exe există numai dacă Windows o copiază din firmware-ul UEFI. Dacă nu este prezent, producătorul PC-ului dvs. nu a folosit WPBT pentru a rula automat software-ul pe PC.

Evitarea WPBT și a altor programe Junkware

Microsoft a stabilit încă câteva reguli pentru această caracteristică în urma eșecului de securitate iresponsabil al Lenovo. Dar este supărător faptul că această caracteristică există chiar în primul rând - și mai ales derutantă pe care Microsoft o va furniza producătorilor de PC-uri fără cerințe clare de securitate sau ghiduri privind utilizarea acesteia.

Instrucțiunile revizuite instruiesc OEM-urile pentru a asigura că utilizatorii pot dezactiva această caracteristică dacă nu doresc acest lucru, dar liniile directoare ale Microsoft nu au împiedicat producătorii de PC-uri să abuzeze de securitatea Windows în trecut.Mărturisiți PC-urile Samsung de transport maritim cu Windows Update dezactivat pentru că a fost mai ușor decât să lucrezi cu Microsoft pentru a vă asigura că driverele corespunzătoare au fost adăugate la Windows Update.

Acesta este un alt exemplu de producători de PC care nu iau în serios securitatea Windows. Dacă plănuiți să cumpărați un PC nou Windows, vă recomandăm să cumpărați unul de la Microsoft Store, Microsoft să aibă grijă de aceste PC-uri și să se asigure că nu au software dăunător cum ar fi Superfish Lenovo, Disable_WindowsUpdate.exe de la Samsung, caracteristica Lenovo LSE, și toate celelalte junk pe care le poate primi un PC tipic.

Când am scris acest lucru în trecut, mulți cititori au răspuns că acest lucru nu a fost necesar pentru că puteați întotdeauna să efectuați o instalare curată a Windows pentru a scăpa de orice bloatware. Ei bine, se pare că nu este adevărat - singura modalitate sigură de a obține un PC Windows fără bloatware este din Microsoft Store. Nu ar trebui să fie așa, dar este.

Ceea ce este deosebit de îngrijorător în privința WPBT nu este doar eșecul complet al Lenovo în utilizarea lui pentru a coace vulnerabilitățile de securitate și junkware în instalările curate ale Windows. Ceea ce este deosebit de îngrijorător este faptul că Microsoft oferă astfel de caracteristici ca producătorii de PC-uri în primul rând - în special fără limitări sau îndrumări corespunzătoare.

De asemenea, a durat câțiva ani înainte ca această caracteristică să fi fost observată chiar și în întreaga lume tehnologică mai largă, și acest lucru sa datorat doar unei vulnerabilități a securității. Cine știe ce alte caracteristici urâte sunt copiate în Windows pentru producătorii de PC-uri să abuzeze. Producătorii de PC-uri trag reputația Windows-ului prin muck, iar Microsoft trebuie să-i pună sub control.

Credit de imagine: Cory M. Grenier pe Flickr