If-Koubou

Zombie Crapware: Как функционира платформата за двоични платформи на Windows

Zombie Crapware: Как функционира платформата за двоични платформи на Windows (Как да)

Малко хора забелязаха по това време, но Microsoft добави нова функция към Windows 8, която позволява на производителите да инфектират UEFI фърмуера с crapware. Windows ще продължи да инсталира и възкресява този нежелан софтуер, дори след като извършите чиста инсталация.

Тази функция продължава да присъства и на Windows 10 и е абсолютно заблуждаваща защо Microsoft ще даде на производителите на компютър толкова голяма мощ. Той подчертава значението на закупуването на персонални компютри от Microsoft Store - дори и при извършване на чиста инсталация, може да не се отървете от всички предварително инсталирани bloatware.

WPBT 101

Започвайки с Windows 8, производителят на персонален компютър може да вгради програма - Windows .exe файл, по същество - във фърмуера на компютъра UEFI. Това се съхранява в секцията "Windows Platform Binary Table" (WPBT) на UEFI фърмуера. Всеки път, когато Windows стартира, той разглежда UEFI фърмуера за тази програма, копира го от фърмуера към операционната система и я стартира. Самите Windows не предвиждат как да се спре това. Ако фърмуерът UEFI на производителя го предложи, Windows ще го пусне без съмнение.

Lenovo LSE и неговите дупки за сигурност

Невъзможно е да се пише за тази съмнителна характеристика, без да се отбелязва каузата, която я доведе до вниманието на обществеността. Lenovo изпрати различни компютри с нещо, наречено "Lenovo Service Engine" (LSE). Ето какво твърди Lenovo е пълен списък на засегнатите компютри.

Когато програмата се изпълнява автоматично от Windows 8, Lenovo Service Engine изтегля програма, наречена OneKey Optimizer, и връща известно количество данни обратно на Lenovo. Lenovo създава системни услуги, предназначени за изтегляне и актуализиране на софтуер от интернет, което прави невъзможно да ги премахнете - те дори автоматично ще се върнат след чиста инсталация на Windows.

Lenovo отиде още по-далеч и разшири тази сенчеста техника на Windows 7. Firmware на UEFI проверява файла C: \ Windows \ system32 \ autochk.exe и го презаписва със собствената версия на Lenovo. Тази програма се стартира при зареждане, за да провери файловата система на Windows, и този трик позволява на Lenovo да направи тази неприятна тренировъчна работа и на Windows 7. Тя просто показва, че WPBT дори не е необходима - производителите на персонални компютри могат просто да имат своите firmwares да презаписват системни файлове на Windows.

Microsoft и Lenovo откриха голяма уязвимост на сигурността с това, което може да бъде използвано, затова Lenovo щастливо престана да пренася компютрите с това гадно боклукче. Lenovo предлага актуализация, която ще премахне LSE от преносими компютри и актуализация, която ще премахне LSE от настолни компютри. Въпреки това, те не се изтеглят и инсталират автоматично, тъй като много - вероятно най-засегнатите компютри на Lenovo ще продължат да имат този боклук инсталиран в своя UEFI фърмуер.

Това е просто още един лош проблем за сигурността от производителя на компютъра, който ни донесе компютри, заразени с Superfish. Не е ясно дали други производители на компютри са злоупотребили с WPBT по подобен начин на някои от компютрите си.

Какво казва Microsoft за това?

Както отбелязва Lenovo:

"Майкрософт наскоро публикува актуализирани указания за сигурност как да приложим най-добре тази функция. Използването на LSE от Lenovo не е в съответствие с тези указания и затова Lenovo прекрати доставката на десктоп модели с тази програма и препоръчва на клиентите с тази помощна програма да стартирате помощна програма за "почистване", която премахва LSE файловете от работния плот.

С други думи, функцията на Lenovo LSE, която използва WPBT за изтегляне на junkware от Интернет, е разрешена според оригиналния дизайн и насоки на Microsoft за функцията WPBT. Насоките вече са усъвършенствани.

Microsoft не предлага много информация за това. Има само един .docx файл - дори и уеб страница - на уебсайта на Microsoft с информация за тази функция. Можете да научите всичко, което искате за него, като прочетете документа. Тя обяснява обосновката на Microsoft за включването на тази функция, като например използването на устойчив софтуер за борба с кражбата:

"Основната цел на WPBT е да позволи на критичния софтуер да се запази дори когато операционната система се е променила или е била преинсталирана в" чиста "конфигурация. Един случай на използване за WPBT е да се даде възможност за защита срещу кражба на софтуер, който се изисква да остане в случай, че дадено устройство е било откраднато, форматирано и преинсталирано. В този сценарий функционалността на WPBT осигурява възможността софтуерът за борба с кражбата да се инсталира отново в операционната система и да продължи да работи както е предвидено. "

Тази защита на функцията бе добавена към документа само след като Lenovo го използва за други цели.

Компютърът ви включва софтуер WPBT?

На компютрите, използващи WPBT, Windows прочита двоичните данни от таблицата в UEFI фърмуера и ги копира в файл, наречен wpbbin.exe при стартиране.

Можете да проверите собствения си компютър, за да видите дали производителят е включил софтуер в WPBT. За да разберете, отворете директорията C: \ Windows \ system32 и потърсете файл с имеwpbbin.exe, Файлът C: \ Windows \ system32 \ wpbbin.exe съществува само ако Windows го копира от фърмуера на UEFI. Ако не е налице, вашият производител на компютри не е използвал WPBT за автоматично стартиране на софтуер на вашия компютър.

Избягване на WPBT и друг Junkware

Microsoft създаде още няколко правила за тази функция вследствие на безотговорния провал на сигурността на Lenovo. Но е невъзможно тази функция дори да съществува на първо място - и особено объркващо, че Microsoft ще я предостави на производителите на персонални компютри без ясни изисквания за сигурност или насоки за нейното използване.

Преработените указания инструктират OEMs да гарантират, че потребителите действително могат да деактивират тази функция, ако не я искат, но насоките на Microsoft не са спрели производителите на компютри да злоупотребяват със сигурността на Windows в миналото.Свидетелствате на Samsung за доставка на компютри с Windows Update е деактивирано, защото това е по-лесно от работата с Microsoft, за да се уверите, че са добавени правилните драйвери към Windows Update.

Това е още един пример за производителите на компютри, които не вземат сериозно сигурността на Windows. Ако планирате да закупите нов компютър с Windows, ви препоръчваме да закупите такъв от Microsoft Магазин, Microsoft наистина се грижи за тези персонални компютри и гарантира, че нямат опасен софтуер, като Superfish на Lenovo, Disable_WindowsUpdate.exe на Lenovo, и всички останали боклуци, които може да дойде с типичен персонален компютър.

Когато написахме това в миналото, много читатели отговориха, че това е ненужно, защото винаги можете да изпълнявате чиста инсталация на Windows, за да се отървете от всякакви блутъри. Е, очевидно това не е вярно - единственият сигурен начин да получите Windows PC без Windows е от Microsoft Store. Не би трябвало да е така, но е така.

Особено тревожно за WPBT не е само пълният провал на Lenovo в използването му, за да изпепели уязвимости и нежелана поща в сигурните инсталации на Windows. Особено тревожно е, че Microsoft предоставя функции на производителите на компютри на първо място - особено без подходящи ограничения или насоки.

Също така отне няколко години, преди тази функция да се забелязва дори и в по-широкия свят на техниката и това се случи само поради лоша уязвимост на сигурността. Кой знае кои други неприятни характеристики се изпичат в производителите на Windows за компютри, за да злоупотребяват. Производителите на персонални компютри протягат репутацията на Windows през хаоса и Microsoft трябва да ги контролира.

Image Credit: Кори М. Гриниър на Flickr