Zombie Crapware Kako deluje binarna tabela Windows platforme

Malo ljudi je takrat opazilo, vendar je Microsoft Windows 8 dodal novo funkcijo, ki proizvajalcem omogoča, da okužijo strojno programsko opremo UEFI s programsko opremo. Windows bo nadaljeval z nameščanjem in ponovnim oživljanjem te neželene programske opreme tudi po izvedbi čiste namestitve.

Ta funkcija je še vedno prisotna v operacijskem sistemu Windows 10, in to je popolnoma skrivnostno, zakaj bi Microsoft dal proizvajalcem računalnikov toliko moči. Poudarja pomembnost nakupa osebnih računalnikov iz Microsoftove trgovine - tudi izvedba čiste namestitve morda ne bo odpravila vseh prednastavljenih bloatov.

WPBT 101

Začenši z operacijskim sistemom Windows 8, lahko proizvajalec računalnikov vdeluje program - datoteko Windows .exe, v bistvu - v strojno programsko opremo UEFI za osebni računalnik. To je shranjeno v razdelku »Binarna tabela Windows platforme« (WPBT) strojne programske opreme UEFI. Kadar se Windows zažene, pogleda firmware za UEFI za ta program, ga kopira iz vdelane programske opreme v pogon operacijskega sistema in ga zažene. Windows sam ne zagotavlja načina, da bi se to preprečilo. Če ga proizvajalčeva UEFI-jeva programska oprema ponuja, jo bo Windows zagnal brez dvoma.

Lenovo LSE in njegove varnostne luknje

O tej vprašljivi značilnosti ni mogoče pisati, ne da bi pri tem omenili primer, ki je pritegnil pozornost javnosti. Lenovo je dobavil različne računalnike z nečim, kar se imenuje »Lenovo Service Engine« (LSE). Lenovo meni, da je popoln seznam prizadetih osebnih računalnikov.

Ko program Windows 8 samodejno zažene program, Lenovo servisni motor prenese program, imenovan OneKey Optimizer, in poroča o določeni količini podatkov družbi Lenovo. Lenovo vzpostavi sistemske storitve, ki so namenjene prenosu in posodabljanju programske opreme z interneta, zaradi česar jih ni mogoče odstraniti - tudi po samodejni namestitvi sistema Windows se bodo samodejno vrnile nazaj..

Lenovo je šel še dlje in razširil to senčno tehniko na Windows 7. Firmware UEFI preveri datoteko autochk.exe sistema C: Windows 32 in jo prepiše z lastno različico Lenovo. Ta program teče ob zagonu, da preveri datotečni sistem v operacijskem sistemu Windows, in ta trik omogoča družbi Lenovo, da opravi tudi to neprijetno prakso v operacijskem sistemu Windows 7. Pokaže se samo, da WPBT sploh ni potreben - proizvajalci osebnih računalnikov bi lahko samo prepisali sistemske datoteke Windows.

Microsoft in Lenovo sta s tem odkrila veliko varnostno ranljivost, ki jo je mogoče izkoristiti, zato je Lenovo na srečo prenehal pošiljati osebne računalnike s to grozno neželeno vsebino. Lenovo ponuja posodobitev, ki bo odstranila LSE iz prenosnih računalnikov in posodobitev, ki bo LSE odstranila iz namiznih računalnikov. Vendar pa se ti ne prenesejo in ne namestijo samodejno, tako da bodo številni - verjetno najbolj prizadeti - računalniki Lenovo še naprej imeli ta neželen stroj nameščen v UEFI firmware..

To je samo še en grozen varnostni problem proizvajalca računalnikov, ki je prinesel PC-je, okužene z Superfishom. Ni jasno, ali so drugi proizvajalci osebnih računalnikov zlorabljali WPBT na podoben način na nekaterih njihovih osebnih računalnikih.

Kaj pravi Microsoft o tem?

Kot ugotavlja družba Lenovo:

»Microsoft je pred kratkim izdal posodobljene varnostne smernice o tem, kako najbolje uporabiti to funkcijo. Uporaba LSE pri družbi Lenovo ni skladna s temi smernicami, zato je družba Lenovo s tem pripomočkom prenehala pošiljati namizne modele in strankam s tem pripomočkom priporoča, da zaženejo pripomoček »clean up«, ki odstrani datoteke LSE z namizja. «

Z drugimi besedami, funkcija Lenovo LSE, ki uporablja WPBT za prenos junkwarea z interneta, je bila dovoljena v okviru Microsoftovega prvotnega načrta in smernic za funkcijo WPBT. Smernice so bile le še izpopolnjene.

Microsoft o tem ne ponuja veliko informacij. Na Microsoftovi spletni strani je samo ena .docx datoteka - niti spletna stran - informacije o tej funkciji. O tem lahko izveste vse, kar želite, tako da preberete dokument. Pojasnjuje Microsoftovo utemeljitev za vključitev te funkcije, z uporabo trajne programske opreme proti kraji kot primer:

»Primarni namen programa WPBT je omogočiti, da kritična programska oprema še vedno obstaja, tudi če se je operacijski sistem spremenil ali ponovno namestil v» čisto «konfiguracijo. Eden od primerov uporabe za WPBT je omogočanje protivlomne programske opreme, ki je potrebna, da bi obstajala, če je bila naprava ukradena, formatirana in ponovno nameščena. V tem scenariju funkcionalnost WPBT zagotavlja zmožnost programske opreme proti kraji, da se ponovno namesti v operacijski sistem in nadaljuje z delom, kot je predvideno. "

Ta zaščita funkcije je bila dokumentu dodana šele, ko jo je družba Lenovo uporabila za druge namene.

Ali vaš računalnik vključuje programsko opremo WPBT?

V računalnikih, ki uporabljajo WPBT, Windows bere binarne podatke iz tabele v firmware UEFI in jih kopira v datoteko wpbbin.exe ob zagonu.

Lahko preverite svoj računalnik in preverite, ali je proizvajalec vključil programsko opremo v WPBT. Če želite izvedeti, odprite imenik C: Windows 32 in poiščite datoteko z imenom wpbbin.exe. Datoteka C: Windows system32 Datoteka wpbbin.exe obstaja samo, če jo Windows kopira iz strojno-programske opreme UEFI. Če ni prisoten, proizvajalec računalnika ni uporabil WPBT za samodejno izvajanje programske opreme v računalniku.

Izogibanje WPBT in drugih Junkware

Microsoft je vzpostavil še nekaj pravil za to funkcijo zaradi neodgovorne varnostne napake družbe Lenovo. Vendar pa je osupljivo, da ta funkcija sploh obstaja - in še posebej osupljivo, da jo bo Microsoft zagotovil proizvajalcem osebnih računalnikov brez jasnih varnostnih zahtev ali smernic za njegovo uporabo..

Revidirane smernice naročajo proizvajalcem originalne opreme, da zagotovijo, da lahko uporabniki dejansko onemogočijo to funkcijo, če je ne želijo, vendar Microsoftove smernice niso preprečile proizvajalcem računalnikov, da bi v preteklosti zlorabljali varnost sistema Windows. Oglejte si, da so Samsungovi prenosni računalniki z Windows Update onemogočeni, ker je bilo to lažje kot pri Microsoftu, da bi zagotovili, da so bili v Windows Update dodani ustrezni gonilniki.

To je še en primer proizvajalcev osebnih računalnikov, ki ne jemljejo resno varnosti Windows. Če nameravate kupiti nov računalnik z operacijskim sistemom Windows, vam priporočamo, da ga kupite v Microsoftovi trgovini. Microsoft dejansko skrbi za te osebne računalnike in zagotavlja, da nimajo škodljive programske opreme, kot je Lenovo Superfish, Samsungova funkcija Disable_WindowsUpdate.exe, funkcija Lenovo LSE z vsemi ostalimi neobičajnimi osebnimi računalniki.

Ko smo to zapisali v preteklosti, so mnogi bralci odgovorili, da je to nepotrebno, ker lahko vedno izvedete čisto namestitev sistema Windows, da se znebite kakršnekoli napake. No, očitno to ni res - edini varen način, da dobite Windows PC, ki ne potrebuje nobene opreme, je iz Microsoftove trgovine. Ne bi smelo biti tako, ampak je.

Kar je še posebej zaskrbljujoče zaradi WPBT, ni le popolna neuspeh podjetja Lenovo pri uporabi varnostnih ranljivosti in junkwarea v čiste namestitve sistema Windows. Kar je še posebej zaskrbljujoče, je, da Microsoft ponuja takšne funkcije proizvajalcem osebnih računalnikov - predvsem brez ustreznih omejitev ali smernic.

Trajalo je tudi nekaj let, preden je ta funkcija postala opazna tudi v širšem tehnološkem svetu, in to se je zgodilo samo zaradi grde varnostne ranljivosti. Kdo ve, kakšne druge neugodne funkcije se v Windows izdela za proizvajalce osebnih računalnikov do zlorabe. Proizvajalci osebnih računalnikov povlečejo ugled sistema Windows s pomočjo gnojila, Microsoft pa jih mora nadzorovati.

Zasluge za sliko: Cory M. Grenier na Flickru