Zombie Crapware: Hvordan Windows Platform Binærbord Fungerer

Innholdsfortegnelse:

Zombie Crapware: Hvordan Windows Platform Binærbord Fungerer
Zombie Crapware: Hvordan Windows Platform Binærbord Fungerer

Video: Zombie Crapware: Hvordan Windows Platform Binærbord Fungerer

Video: Zombie Crapware: Hvordan Windows Platform Binærbord Fungerer
Video: ПРЕМЬЕРА МЕДИЦИНСКОЙ МЕЛОДРАМЫ 2022! - Спросите медсестру - Русский сериал 2022 - Премьера HD - YouTube 2024, Mars
Anonim
Få mennesker oppdaget på den tiden, men Microsoft la til en ny funksjon til Windows 8 som gjør at produsentene kan smitte UEFI-firmware med crapware. Windows vil fortsette å installere og gjenopplive denne søppelprogrammet selv etter at du har utført en ren installasjon.
Få mennesker oppdaget på den tiden, men Microsoft la til en ny funksjon til Windows 8 som gjør at produsentene kan smitte UEFI-firmware med crapware. Windows vil fortsette å installere og gjenopplive denne søppelprogrammet selv etter at du har utført en ren installasjon.

Denne funksjonen fortsetter å være til stede på Windows 10, og det er absolutt mystifying hvorfor Microsoft ville gi PC-produsenter så mye kraft. Det fremhever viktigheten av å kjøpe PCer fra Microsoft Store - selv om du utfører en ren installasjon, kan det ikke bli kvitt alt forhåndsinstallert bloatware.

WPBT 101

Begynn med Windows 8, en PC-produsent kan legge inn et program - en Windows.exe-fil, hovedsakelig - i PC-en UEFI-firmware. Dette lagres i delen "Windows Platform Binary Table" (WPBT) i UEFI-firmware. Når Windows støtter, ser det på UEFI-fastvaren for dette programmet, kopierer den fra fastvaren til operativsystemstasjonen, og kjører den. Windows i seg selv gir ingen måte å stoppe dette. Hvis produsentens UEFI-firmware tilbyr det, kjører Windows det uten spørsmål.

Lenovos LSE og sikkerhetshullene

Det er umulig å skrive om denne tvilsomme funksjonen uten å merke seg saken som brakte den til offentlig oppmerksomhet. Lenovo sendte en rekke PCer med noe som kalles "Lenovo Service Engine" (LSE) aktivert. Her er hva Lenovo hevder er en komplett liste over berørte PCer.

Når programmet kjøres automatisk av Windows 8, laster Lenovos servicemotor et program som heter OneKey Optimizer, og rapporterer litt data tilbake til Lenovo. Lenovo setter opp systemtjenester designet for å laste ned og oppdatere programvare fra Internett, noe som gjør det umulig å fjerne dem - de kommer til og med automatisk tilbake etter en ren installasjon av Windows.

Lenovo gikk enda lenger og utvidet denne skyggefulle teknikken til Windows 7. UEFI-firmware sjekker filen C: Windows system32 autochk.exe og overskriver den med Lenovos egen versjon. Dette programmet kjører ved oppstart for å sjekke filsystemet på Windows, og dette trikset gjør det mulig for Lenovo å gjøre denne ubehagelige øvelsen på Windows 7 også. Det går bare for å vise at WPBT ikke engang er nødvendig - PC-produsenter kan bare få firmwares til å overskrive Windows-systemfiler.

Microsoft og Lenovo oppdaget et stort sikkerhetsproblem med dette som kan utnyttes, så Lenovo har heldigvis sluttet å skifte PCer med denne ekkel søppel. Lenovo tilbyr en oppdatering som fjerner LSE fra bærbare PCer og en oppdatering som fjerner LSE fra stasjonære PCer. Disse blir imidlertid ikke lastet ned og installert automatisk, så mange - trolig mest berørte Lenovo-PCer vil fortsatt ha denne søppelposten installert i deres UEFI-firmware.

Dette er bare et annet styggt sikkerhetsproblem fra PC-produsenten som brakte oss PC-er infisert med Superfish. Det er uklart om andre PC-produsenter har misbrukt WPBT på en lignende måte på noen av deres PCer.

Image
Image

Hva sier Microsoft om dette?

Som Lenovo sier:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

Med andre ord, Lenovo LSE-funksjonen som bruker WPBT til å laste ned junkware fra Internett, ble tillatt under Microsofts originale design og retningslinjer for WPBT-funksjonen. Retningslinjene er nå bare blitt raffinert.

Microsoft tilbyr ikke mye informasjon om dette. Det er bare en enkelt.docx-fil - ikke engang en nettside - på Microsofts nettsted med informasjon om denne funksjonen. Du kan lære alt du vil om det ved å lese dokumentet. Det forklarer Microsofts begrunnelse for å inkludere denne funksjonen ved å bruke vedvarende tyverisikringsprogramvare som et eksempel:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration. One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

Dette forsvaret av funksjonen ble bare lagt til i dokumentet etter at Lenovo brukte det til andre formål.

Inkluderer PCen WPBT-programvare?

På PCer som bruker WPBT, leser Windows de binære dataene fra tabellen i UEFI-firmware og kopierer den til en fil som heter wpbbin.exe ved oppstart.

Du kan sjekke din egen PC for å se om produsenten har inkludert programvare i WPBT. For å finne ut, åpne katalogen C: Windows system32 og se etter en fil som heter wpbbin.exe. Filen C: Windows system32 wpbbin.exe eksisterer bare hvis Windows kopierer den fra UEFI-firmware. Hvis den ikke er til stede, har ikke PC-produsenten brukt WPBT til å kjøre programvare automatisk på PCen.

Image
Image

Unngå WPBT og andre Junkware

Microsoft har satt opp noen få regler for denne funksjonen i etterkant av Lenovos uansvarlige sikkerhetssvikt. Men det er forbløffende at denne funksjonen selv eksisterer i første omgang - og spesielt forvirrende at Microsoft ville gi det til PC-produsenter uten noen klare sikkerhetskrav eller retningslinjer for bruken.

De reviderte retningslinjene instruerer OEM'er for å sikre at brukerne faktisk kan deaktivere denne funksjonen hvis de ikke vil ha det, men Microsofts retningslinjer har ikke stoppet PC-produsenter fra å misbruke Windows-sikkerhet tidligere. Vitne Samsung-frakt-PCer med Windows Update deaktivert fordi det var enklere enn å jobbe med Microsoft for å sikre at de riktige driverne ble lagt til i Windows Update.

Dette er enda et eksempel på at PC-produsenter ikke tar Windows-sikkerhet på alvor.Hvis du planlegger å kjøpe en ny Windows-PC, anbefaler vi at du kjøper en fra Microsoft Store, Microsoft bryr seg faktisk om disse PCene og sikrer at de ikke har skadelig programvare som Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-funksjon, og alt annet søppel kan en typisk PC komme med.

Da vi skrev dette i fortiden, reagerte mange lesere at dette var unødvendig fordi du alltid alltid kunne utføre en ren installasjon av Windows for å kvitte seg med noen bloatware. Vel, tilsynelatende er det ikke sant - den eneste surefire-måten å få en bloatwarefri Windows-PC fra, er fra Microsoft Store. Det burde ikke være slik, men det er.

Det som er spesielt bekymrende for WPBT, er ikke bare Lenovos fullstendige feil i å bruke den til å bake sikkerhetsproblemer og junkware til rene installasjoner av Windows. Det som spesielt er bekymringsfullt er at Microsoft gir funksjoner som dette til PC-produsenter i første omgang - spesielt uten ordentlig begrensning eller veiledning.

Det tok også flere år før denne funksjonen ble til og med oppdaget blant den bredere teknologiske verden, og det skjedde bare på grunn av et ubehagelig sikkerhetsproblem. Hvem vet hvilke andre ubehagelige funksjoner som er bakt inn i Windows for at PC-produsenter skal misbruke. PC-produsenter drar Windows-rykte gjennom mucken, og Microsoft trenger å få dem under kontroll.

Anbefalt: