Crapware Zombie Bagaimana Windows Binary Platform berfungsi

Tidak ramai orang yang melihat pada masa itu, tetapi Microsoft menambah ciri baru kepada Windows 8 yang membolehkan pengeluar menjangkiti firmware UEFI dengan crapware. Windows akan terus memasang dan menghidupkan semula perisian sampah ini walaupun selepas melakukan pemasangan bersih.

Ciri ini terus hadir pada Windows 10, dan ia benar-benar menghairankan mengapa Microsoft akan memberi pengeluar PC kuasa yang begitu banyak. Ia menekankan pentingnya membeli PC dari Microsoft Store - walaupun melakukan pemasangan yang bersih mungkin tidak menyingkirkan semua bloatware yang diprapasang.

WPBT 101

Bermula dengan Windows 8, pengilang PC boleh membenamkan program - fail Windows .exe, pada dasarnya - dalam firmware UEFI PC. Ini disimpan dalam bahagian "Windows Binary Platform" (WPBT) dari firmware UEFI. Setiap kali menggunakan but Windows, ia melihat firmware UEFI untuk program ini, salinannya dari firmware ke pemacu sistem operasi, dan mengendalikannya. Windows sendiri tidak menyediakan cara untuk menghentikan ini daripada berlaku. Sekiranya firmware UEFI pembuatnya menawarkannya, Windows akan menjalankannya tanpa persoalan.

LSE Lenovo dan Lubang Keselamatannya

Tidak mustahil untuk menulis tentang ciri yang dipersoalkan ini tanpa mengingatkan kes yang membawanya kepada perhatian orang ramai. Lenovo menghantar pelbagai PC dengan sesuatu yang dipanggil "Enjin Servis Lenovo" (LSE) yang diaktifkan. Inilah yang dikatakan Lenovo adalah senarai lengkap PC yang terjejas.

Apabila program dijalankan secara automatik oleh Windows 8, Enjin Perkhidmatan Lenovo memuat turun satu program yang dikenali sebagai OneKey Optimizer dan melaporkan beberapa jumlah data kembali ke Lenovo. Lenovo menubuhkan perkhidmatan sistem yang direka untuk memuat turun dan mengemas kini perisian dari Internet, menjadikannya mustahil untuk menghapusnya - mereka akan secara automatik kembali selepas memasang Windows bersih.

Lenovo pergi lebih jauh lagi, memperluaskan teknik rendang ini ke Windows 7. UEFI firmware menyemak fail C: \ Windows \ system32 \ autochk.exe dan menimpanya dengan versi Lenovo sendiri. Program ini berjalan pada boot untuk memeriksa sistem fail pada Windows, dan trik ini membolehkan Lenovo membuat kerja praktik jahat ini pada Windows 7 juga. Ia hanya menunjukkan bahawa WPBT tidak semestinya - pengeluar PC hanya boleh mempunyai firmware mereka menimpa fail sistem Windows.

Microsoft dan Lenovo menemui kelemahan keselamatan utama dengan ini yang boleh dieksploitasi, jadi Lenovo telah mengucapkan terima kasih berhenti PC perkapalan dengan sampah jahat ini. Lenovo menawarkan kemas kini yang akan mengeluarkan LSE dari PC notebook dan kemas kini yang akan mengeluarkan LSE dari PC desktop. Walau bagaimanapun, ini tidak dimuat turun dan dipasang secara automatik, begitu banyak - mungkin PC yang paling terjejas oleh Lenovo akan terus memasang sampah ini di firmware UEFI mereka.

Ini adalah satu lagi masalah keselamatan jahat dari pengilang PC yang membawa kita PC yang dijangkiti Superfish. Tidak jelas sama ada pengeluar PC lain telah menyalahgunakan WPBT dengan cara yang sama pada beberapa PC mereka.

Apa Kata Microsoft Mengenai Ini?

Sebagai nota Lenovo:

"Microsoft baru-baru ini mengeluarkan garis panduan keselamatan yang dikemaskini mengenai cara terbaik melaksanakan ciri ini. Penggunaan LSE Lenovo tidak konsisten dengan garis panduan ini dan oleh itu Lenovo telah berhenti menghantar model desktop dengan utiliti ini dan mengesyorkan pelanggan dengan utiliti ini membolehkan menjalankan "membersihkan" utiliti yang membuang fail LSE dari desktop. "

Dengan kata lain, ciri LSE Lenovo yang menggunakan WPBT untuk memuat turun junkware dari Internet dibenarkan di bawah reka bentuk dan garis panduan asal Microsoft untuk ciri WPBT. Garis panduan ini hanya telah disempurnakan.

Microsoft tidak menawarkan banyak maklumat tentang perkara ini. Hanya ada satu fail .docx - tidak ada laman web - di laman web Microsoft dengan maklumat mengenai ciri ini. Anda boleh belajar semua yang anda mahu dengan membaca dokumen itu. Ia menerangkan rasional Microsoft untuk memasukkan ciri ini, menggunakan perisian anti-kecurian yang berterusan sebagai contoh:

"Tujuan utama WPBT adalah untuk membolehkan perisian kritikal bertahan walaupun sistem operasi telah berubah atau telah dipasang semula dalam konfigurasi" bersih ". Satu kes penggunaan untuk WPBT adalah untuk membolehkan perisian anti-kecurian yang diperlukan untuk berterusan sekiranya peranti telah dicuri, diformat, dan dipasang semula. Dalam senario ini fungsi WPBT menyediakan keupayaan untuk perisian anti-kecurian untuk memasang semula dirinya ke dalam sistem pengendalian dan terus berfungsi seperti yang diharapkan. "

Pembelaan ciri ini hanya ditambahkan pada dokumen itu selepas Lenovo menggunakannya untuk tujuan lain.

Adakah PC Anda Termasuk Perisian WPBT?

Pada PC menggunakan WPBT, Windows membaca data binari dari jadual dalam firmware UEFI dan salinannya ke fail yang bernama wpbbin.exe pada boot.

Anda boleh menyemak PC anda sendiri untuk melihat sama ada pengilang telah memasukkan perisian dalam WPBT. Untuk mengetahui, buka direktori C: \ Windows \ system32 dan cari fail bernama wpbbin.exe. Fail C: \ Windows \ system32 \ wpbbin.exe hanya wujud jika Windows menyalinnya dari firmware UEFI. Sekiranya tidak hadir, pengilang PC anda tidak menggunakan WPBT untuk menjalankan perisian secara automatik pada PC anda.

Mengelakkan WPBT dan Junkware Lain

Microsoft telah menetapkan beberapa peraturan untuk ciri ini berikutan kegagalan keselamatan yang tidak bertanggungjawab Lenovo. Tetapi ia membingungkan bahawa ciri ini juga wujud di tempat pertama - dan terutama membingungkan bahawa Microsoft akan menyediakannya kepada pengeluar PC tanpa sebarang keperluan keselamatan atau garis panduan yang jelas mengenai kegunaannya.

Garis panduan yang disemak semula itu mengarahkan OEM untuk memastikan pengguna benar-benar boleh mematikan ciri ini jika mereka tidak menginginkannya, tetapi garis panduan Microsoft tidak menghentikan pengilang PC daripada menyalahgunakan keselamatan Windows pada masa lalu. Saksi PC perkapalan Samsung dengan Windows Update dilumpuhkan kerana lebih mudah daripada bekerja dengan Microsoft untuk memastikan pemandu yang betul telah ditambah ke Windows Update.

Ini adalah satu lagi contoh pengilang PC yang tidak mengambil serius keselamatan Windows. Jika anda merancang untuk membeli PC Windows baru, kami cadangkan anda membeli satu dari Microsoft Store, Microsoft sebenarnya mengambil berat tentang PC ini dan memastikan mereka tidak mempunyai perisian yang berbahaya seperti Superfish Lenovo, Disable_WindowsUpdate.exe Samsung, ciri LSE Lenovo, dan semua sampah lain PC biasa mungkin datang.

Apabila kami menulis ini pada masa lalu, ramai pembaca menjawab bahawa ini tidak perlu kerana anda sentiasa boleh melakukan pemasangan Windows bersih untuk menghilangkan sebarang penguncupan. Nah, nampaknya itu tidak benar - satu-satunya cara yang pasti untuk mendapatkan PC Windows tanpa bloatware adalah dari Kedai Microsoft. Ia tidak sepatutnya seperti ini, tetapi ia adalah.

Apa yang sangat mengganggu tentang WPBT bukan sahaja kegagalan lengkap Lenovo menggunakannya untuk membakar kelemahan keselamatan dan junkware ke dalam pemasangan bersih Windows. Apa yang sangat dibimbangkan ialah Microsoft menyediakan ciri-ciri seperti ini kepada pengilang PC di tempat pertama - terutamanya tanpa batasan atau panduan yang betul.

Ia juga mengambil masa beberapa tahun sebelum ciri ini menjadi perhatian di kalangan dunia teknologi yang lebih luas, dan itu hanya berlaku kerana kelemahan keselamatan yang buruk. Siapa tahu apa ciri-ciri jahat lain yang dipanggang ke Windows untuk pengeluar PC untuk penyalahgunaan. Pengilang PC mengheret reputasi Windows melalui kotoran dan Microsoft perlu mengendalikan mereka.

Kredit Imej: Cory M. Grenier pada Flickr