If-Koubou

Zombie Crapware: Kako funkcionira binarnu tablicu platforme Windows

Zombie Crapware: Kako funkcionira binarnu tablicu platforme Windows (Kako da)

U to doba zapaženo je malo ljudi, ali Microsoft je dodao novu značajku Windows 8 koja proizvođačima omogućava da inficiraju UEFI firmware s crapwareom. Windows će nastaviti instalirati i resurrecting ovaj softver bezvrijedne čak i nakon što ste izvršili čistu instalaciju.

Ova značajka i dalje je prisutna u sustavu Windows 10 i apsolutno je tajnovita zašto bi Microsoft pružio proizvođačima računala toliko energije. Naglašava važnost kupnje računala iz Microsoft Storea - čak i obavljanje čiste instalacije ne smije se riješiti svih unaprijed instaliranih programa.

WPBT 101

Počevši od sustava Windows 8, proizvođač računala može ugraditi program - Windows .exe datoteku, u suštini - u UEFI firmveru računala. Ovo je pohranjeno u odjeljku UEFI firmvera "Binarna tablica platforme sustava Windows" (WPBT). Kad god se Windows pokrene, gleda UEFI firmver za ovaj program, kopira ga s firmwarea na pogon operacijskog sustava i pokreće ga. Sam Windows ne pruža nikakav način da se to zaustavi. Ako ga nudi proizvođač UEFI firmware, Windows će ga pokrenuti bez pitanja.

Lenovo LSE i njegove sigurnosne rupe

Nemoguće je pisati o toj upitnoj značajci, a da pritom ne zabilježi slučaj koji je doveo do javnosti. Lenovo je isporučio različita računala s nekim pod nazivom "Lenovo Service Engine" (LSE) omogućeno. Evo što Lenovo tvrdi da je potpuni popis pogođenih računala.

Kada program Windows 8 pokreće program, Lenovo Service Engine preuzima program pod nazivom OneKey Optimizer i izvješćuje količinu podataka natrag u Lenovo. Lenovo postavlja servisne sustave osmišljene za preuzimanje i ažuriranje softvera s Interneta, čime je nemoguće ukloniti ih - oni će se automatski automatski vratiti nakon čiste instalacije sustava Windows.

Lenovo je otišao još dalje, proširivši ovu sjenovitu tehniku ​​na sustav Windows 7. UEFI firmware provjerava datoteku C: \ Windows \ system32 \ autochk.exe i prepisuje ga s vlastitom verzijom tvrtke Lenovo. Taj se program pokreće prilikom pokretanja kako bi provjerio datotečni sustav na sustavu Windows, a ovaj trik omogućuje Lenovu da ovu neugodnu praksu radi i na sustavu Windows 7. To samo pokazuje da WPBT nije ni potrebno - proizvođači računala mogu samo svoje firmware prebrisati datoteke sustava Windows.

Microsoft i Lenovo otkrili su veliku sigurnosnu ranjivost s tim što se može iskoristiti, tako da je Lenovo zahvalno zaustavio isporuku računala s ovim neugodnim smećem. Lenovo nudi ažuriranje koje će ukloniti LSE iz prijenosnih računala i ažuriranje koje će ukloniti LSE s stolnih računala. Međutim, one se ne preuzimaju i instaliraju automatski, tako da će mnogi - vjerojatno najviše pogođeni Lenovo računala i dalje imati ovaj junk instaliran u svom UEFI firmwareu.

Ovo je samo još jedan gadan sigurnosni problem od proizvođača računala koji nam je donio računala zaražena Superfishom. Nije jasno da su drugi proizvođači računala zloupotrijebili WPBT na sličan način na nekim svojim računalima.

Što Microsoft kaže o tome?

Kao što Lenovo napominje:

"Microsoft je nedavno objavio ažurirane sigurnosne smjernice o tome kako najbolje implementirati tu značajku. Lenovoova upotreba LSE-a nije u skladu s ovim smjernicama, pa je Lenovo zaustavio isporuku modela stolnih računala s ovim programom i preporučuje korisnicima da ovaj uslužni program omogućava pokretanje uslužnog programa "čišćenja" koji uklanja LSE datoteke s radne površine. "

Drugim riječima, značajka Lenovo LSE koja koristi WPBT za preuzimanje junkwarea s interneta bila je dopuštena prema Microsoftovom originalnom dizajnu i smjernicama za WPBT značajku. Smjernice su sada samo rafinirane.

Microsoft ne nudi mnogo informacija o tome. Postoji samo jedna. Docx datoteka - čak ni web stranica - na Microsoftovu web mjestu s informacijama o ovoj značajki. Čitanjem dokumenta možete saznati sve što želite. To objašnjava Microsoftovu razlogu za uključivanje ove značajke, koristeći se stalnim protuprovalnim softverom kao primjer:

"Primarna svrha WPBT-a je dopustiti kritičnom softveru da nastavi čak i kada se operativni sustav promijenio ili ponovno instalirao u" čistu "konfiguraciju. Jedna od koristi za WPBT je omogućiti protuprovalni softver koji je potreban za postojanost ukoliko je uređaj ukraden, formatiran i ponovno instaliran. U ovom scenariju WPBT funkcionalnost omogućuje sposobnost protuprovalnog softvera da se ponovno instalira u operacijski sustav i nastavi raditi kako je namjeravano. "

Ova obrana značajke samo je dodana dokumentu nakon što je Lenovo koristio za druge svrhe.

Sadrži li vaše računalo WPBT softver?

Na računalima koja koriste WPBT, Windows čita binarne podatke iz tablice u UEFI firmwareu i kopira ih u datoteku pod nazivom wpbbin.exe pri podizanju sustava.

Možete provjeriti svoje računalo kako biste vidjeli je li proizvođač uključio softver u WPBT. Da biste saznali, otvorite direktorij C: \ Windows \ system32 i potražite naziv datotekewpbbin.exe, Datoteka C: \ Windows \ system32 \ wpbbin.exe postoji samo ako ga Windows kopira iz UEFI firmvera. Ako nije prisutan, proizvođač računala nije koristio WPBT za automatsko pokretanje softvera na vašem računalu.

Izbjegavanje WPBT i drugih Junkware programa

Microsoft je postavio još nekoliko pravila za ovu značajku u svjetlu neodgovornog neuspjeha tvrtke Lenovo. No, to je zbunjujuće činjenica da ova značajka postoji i na prvom mjestu - i osobito zbunjujući činjenicu da će je Microsoft pružiti proizvođačima računala bez jasnih sigurnosnih zahtjeva ili smjernica o njegovoj uporabi.

Revidirane smjernice upućuju OEM-ove da bi korisnici zapravo mogli onemogućiti ovu značajku ako to ne žele, ali Microsoftove smjernice nisu zaustavile proizvođače računala da zloupotrebljavaju sigurnost sustava Windows u prošlosti.Svjedočenje Samsung utovarnih računala s programom Windows Update onemogućeno jer je bilo lakše nego raditi s tvrtkom Microsoft kako bi se osiguralo da su odgovarajuće upravljačke programe dodane u Windows Update.

Ovo je još jedan primjer proizvođača računala koji ne uzimaju ozbiljno sigurnost sustava Windows. Ako planirate kupiti novo Windows računalo, preporučujemo da kupite računalo iz Microsoft Storea, Microsoft zapravo brine o tim računalima i osigurava da nemaju štetnih programa kao što su Lenovo Superfish, Samsung's Disable_WindowsUpdate.exe, Lenovoov LSE značajka, i sve ostalo smeće može doći tipičan PC.

Kada smo to napisali u prošlosti, mnogi čitatelji su odgovorili da je to bilo nepotrebno jer ste uvijek mogli samo obavljati čistu instalaciju sustava Windows kako biste se riješili svih nadutosti. Pa, očigledno to nije istina - jedini siguran način da se dobije bezbrižno-bez Windows računala je iz Microsoft Store. Ne bi trebao biti takav, ali jest.

Ono što je osobito zabrinjavajuće zbog WPBT-a nije samo potpuni neuspjeh Lenova u korištenju da peći sigurnosne ranjivosti i junkware u čistu instalaciju sustava Windows. Ono što je osobito zabrinjavajuće jest Microsoft koji na prvom mjestu nudi osobine poput ovih kod proizvođača računala - pogotovo bez odgovarajućih ograničenja ili smjernica.

Također je trebalo nekoliko godina prije nego što se ova značajka čak i primijetila u širem tehničkom svijetu, a to se dogodilo samo zbog neugodne sigurnosne ranjivosti. Tko zna kakve druge neugodne značajke su pečene u Windows za proizvođače računala na zlostavljanje. Proizvođači računala povlače reputaciju Windowsa kroz zalihu i Microsoft ih treba pod kontrolom.

Slikovni kredit: Cory M. Grenier na Flickr