Niewiele osób zauważyło w tym czasie, ale Microsoft dodał nową funkcję do systemu Windows 8, która umożliwia producentom zainfekowanie oprogramowania UEFI crapware. Windows będzie kontynuował instalowanie i wskrzeszanie tego niepotrzebnego oprogramowania nawet po wykonaniu czystej instalacji.
Ta funkcja jest nadal obecna w systemie Windows 10 i jest absolutnie tajemnicą, dlaczego Microsoft dałby producentom komputerów tak wielką moc. Podkreśla znaczenie zakupu komputerów ze sklepu Microsoft Store - nawet wykonanie czystej instalacji może nie pozbyć się całego zainstalowanego fabrycznie oprogramowania bloatware.
Począwszy od Windows 8, producent komputerów PC może osadzić program - plik Windows .exe, zasadniczo - w oprogramowaniu UEFI komputera PC. Jest to przechowywane w sekcji "Windows Platform Binary Table" (WPBT) oprogramowania układowego UEFI. Po każdym uruchomieniu systemu Windows przegląda oprogramowanie układowe UEFI dla tego programu, kopiuje je z oprogramowania układowego na dysk systemu operacyjnego i uruchamia go. Sam system Windows nie ma możliwości, aby temu zapobiec. Jeśli producent oprogramowania UEFI oferuje to, Windows uruchomi go bez pytania.
Nie można pisać o tej wątpliwej funkcji, nie zwracając uwagi na przypadek, który zwrócił na nią publiczną uwagę. Lenovo dostarczyło różne komputery z włączonym mechanizmem "Lenovo Service Engine" (LSE). Oto, co według Lenovo jest pełną listą zagrożonych komputerów.
Gdy program jest automatycznie uruchamiany przez system Windows 8, aparat serwisowy Lenovo pobiera program o nazwie OneKey Optimizer i zgłasza pewną ilość danych z powrotem do Lenovo. Firma Lenovo tworzy usługi systemowe przeznaczone do pobierania i aktualizowania oprogramowania z Internetu, co uniemożliwia ich usunięcie - a nawet automatycznie wróci po czystej instalacji systemu Windows.
Lenovo poszło jeszcze dalej, rozszerzając tę podejrzaną technikę na Windows 7. Oprogramowanie UEFI sprawdza plik C: \ Windows \ system32 \ autochk.exe i nadpisuje go własną wersją Lenovo. Ten program działa podczas rozruchu, aby sprawdzić system plików w systemie Windows, a ta sztuczka pozwala Lenovo na sprawienie, że ta paskudna praktyka działa również na systemie Windows 7. To pokazuje, że WPBT nie jest nawet potrzebny - producenci komputerów mogli po prostu mieć swoje oprogramowanie sprzętowe nadpisywać pliki systemowe Windows.
Microsoft i Lenovo wykryły poważną lukę w zabezpieczeniach, która może zostać wykorzystana, więc Lenovo z wdzięcznością zaprzestało wysyłania komputerów z tymi paskudnymi śmieciami. Lenovo oferuje aktualizację, która usunie LSE z komputerów przenośnych i aktualizację, która usunie LSE z komputerów stacjonarnych. Jednak nie są one automatycznie pobierane i instalowane, więc wiele - prawdopodobnie najbardziej dotkniętych komputerów Lenovo - nadal będzie instalować te śmieci w ich oprogramowaniu UEFI.
To tylko kolejny nieprzyjemny problem bezpieczeństwa od producenta komputera, który przyniósł nam komputery zainfekowane Superfish. Nie jest jasne, czy inni producenci komputerów PC nadużyli WPBT w podobny sposób na niektórych komputerach.
Jak zauważa Lenovo:
"Firma Microsoft opublikowała niedawno zaktualizowane wskazówki bezpieczeństwa dotyczące najlepszego sposobu implementacji tej funkcji. Korzystanie z LSE przez firmę Lenovo jest niezgodne z tymi wytycznymi, dlatego firma Lenovo zaprzestała wysyłania modeli komputerów stacjonarnych za pomocą tego narzędzia i zaleca klientom z włączonym tym narzędziem uruchomienie narzędzia "czyszczenia", które usuwa pliki LSE z komputera. "
Innymi słowy, funkcja Lenovo LSE, która używa WPBT do pobierania niechcianego oprogramowania z Internetu, była dozwolona zgodnie z oryginalnym projektem Microsoftu i wytycznymi dla funkcji WPBT. Wytyczne zostały dopiero udoskonalone.
Microsoft nie oferuje zbyt wielu informacji na ten temat. W witrynie Microsoftu jest tylko jeden plik .docx - nawet strona internetowa z informacjami o tej funkcji. Możesz dowiedzieć się wszystkiego, co chcesz na ten temat, czytając dokument. Wyjaśnia uzasadnienie Microsoftu dotyczące włączenia tej funkcji, wykorzystując na przykład trwałe oprogramowanie antywłamaniowe:
"Głównym celem WPBT jest umożliwienie utrzymywania krytycznego oprogramowania nawet po zmianie lub ponownej instalacji systemu operacyjnego w" czystej "konfiguracji. Jednym z przypadków użycia WPBT jest włączenie oprogramowania zabezpieczającego przed kradzieżą, które musi przetrwać w przypadku, gdy urządzenie zostało skradzione, sformatowane i ponownie zainstalowane. W tym scenariuszu funkcja WPBT zapewnia możliwość ponownego zainstalowania oprogramowania zabezpieczającego przed kradzieżą w systemie operacyjnym i kontynuowania pracy zgodnie z przeznaczeniem. "
Ta obrona funkcji została dodana do dokumentu dopiero po tym, jak Lenovo użyło go do innych celów.
Na komputerach PC korzystających z WPBT system Windows odczytuje dane binarne z tabeli w oprogramowaniu UEFI i kopiuje je do pliku o nazwie wpbbin.exe podczas rozruchu.
Możesz sprawdzić swój komputer, aby sprawdzić, czy producent włączył oprogramowanie do WPBT. Aby się tego dowiedzieć, otwórz katalog C: \ Windows \ system32 i poszukaj pliku o nazwiewpbbin.exe. Plik C: \ Windows \ system32 \ wpbbin.exe istnieje tylko wtedy, gdy system Windows kopiuje go z oprogramowania układowego UEFI. Jeśli go nie ma, producent komputera nie użył WPBT do automatycznego uruchamiania oprogramowania na komputerze.
Firma Microsoft ustanowiła kilka dodatkowych zasad dotyczących tej funkcji w związku z nieodpowiedzialną awarią bezpieczeństwa Lenovo. Ale jest to zaskakujące, że ta funkcja w ogóle istnieje - a szczególnie zaskakuje to, że Microsoft dostarczy ją producentom komputerów PC bez żadnych wyraźnych wymagań bezpieczeństwa lub wytycznych dotyczących jej użycia.
Zmienione wytyczne zalecają producentom OEM zapewnienie użytkownikom możliwości wyłączenia tej funkcji, jeśli jej nie chcą, ale wytyczne firmy Microsoft nie powstrzymały producentów komputerów przed nadużywaniem zabezpieczeń systemu Windows w przeszłości.Sprawdź, czy komputery wysyłkowe Samsung z wyłączoną funkcją Windows Update są wyłączone, ponieważ było to łatwiejsze niż współpraca z firmą Microsoft w celu zapewnienia, że odpowiednie sterowniki zostały dodane do witryny Windows Update.
To kolejny przykład producentów komputerów, którzy nie traktują poważnie bezpieczeństwa systemu Windows. Jeśli planujesz zakup nowego komputera z systemem Windows, zalecamy zakupienie go ze sklepu Microsoft. Microsoft naprawdę dba o te komputery i zapewnia, że nie ma szkodliwego oprogramowania, takiego jak Lenovo's Superfish, Samsung Disable_WindowsUpdate.exe, funkcja LSE firmy Lenovo, i wszystkie inne śmieci, z których może korzystać typowy komputer.
Kiedy pisaliśmy to w przeszłości, wielu czytelników odpowiedziało, że jest to niepotrzebne, ponieważ zawsze można po prostu wykonać czystą instalację systemu Windows, aby pozbyć się wszelkich nadużyć. Cóż, najwyraźniej nie jest to prawdą - jedyny pewny sposób na uzyskanie wolnego od napadów Windowsa komputera z systemem Windows pochodzi ze sklepu Microsoft. Nie powinno tak być, ale tak jest.
Szczególnie niepokojące w WPBT jest nie tylko całkowite niepowodzenie Lenovo w wykorzystywaniu go do upuszczania luk w zabezpieczeniach i niechcianego oprogramowania do czystych instalacji systemu Windows. Szczególnie niepokojące jest to, że Microsoft zapewnia takie funkcje producentom komputerów - przede wszystkim bez odpowiednich ograniczeń i wskazówek.
Minęło kilka lat zanim ta funkcja została zauważona wśród szerszego świata technologii, a stało się tak tylko z powodu nieprzyjemnej luki w zabezpieczeniach. Kto wie, jakie inne paskudne funkcje są wypalane w systemie Windows, aby producenci komputerów mogli nadużywać. Producenci komputerów przenoszą reputację systemu Windows przez błoto, a Microsoft musi je kontrolować.
Image Credit: Cory M. Grenier na Flickr
