Zombie Crapware Ako pracuje platforma Windows Platform Binary
Len málo ľudí v tom čase zaznamenalo, ale spoločnosť Microsoft pridal do systému Windows 8 novú funkciu, ktorá umožňuje výrobcom infikovať firmvér UEFI pomocou crapware. Systém Windows bude naďalej inštalovať a obnovovať tento nevyžiadaný softvér aj po vykonaní čistej inštalácie.
Táto funkcia je naďalej prítomná v systéme Windows 10 a je úplne mystifikujúce, prečo by spoločnosť Microsoft poskytla výrobcom počítačov toľko energie. Zdôrazňuje dôležitosť nákupu počítačov z obchodu Microsoft Store - dokonca aj vykonanie čistej inštalácie sa nemusí zbaviť všetkých predinštalovaných bloatware.
WPBT 101
Počnúc systémom Windows 8 môže výrobca počítača vložiť program - súbor Windows .exe, v podstate - do firmvéru UEFI počítača. Toto je uložené v časti Windows Platform Binary Table (WPBT) firmvéru UEFI. Kedykoľvek sa systém Windows zavádza, pozrie sa na firmvér UEFI pre tento program, skopíruje ho z firmvéru na jednotku operačného systému a spustí ho. Samotný systém Windows neumožňuje zabrániť tomu, aby sa to stalo. Ak to firmvér UEFI ponúka od výrobcu, systém Windows ho bude bez problémov spúšťať.
Lenovo LSE a jeho bezpečnostné diery
Je nemožné písať o tejto spornej funkcii bez toho, aby sme si všimli prípad, ktorý ju priviedol k pozornosti verejnosti. Spoločnosť Lenovo dodala rôzne počítače s technológiou Lenovo Service Engine (LSE). Spoločnosť Lenovo tvrdí, že je úplný zoznam postihnutých počítačov.
Keď sa program automaticky spustí systémom Windows 8, program Lenovo Service Engine stiahne program s názvom OneKey Optimizer a nahlási určité množstvo údajov späť spoločnosti Lenovo. Spoločnosť Lenovo zriaďuje systémové služby určené na prevzatie a aktualizáciu softvéru z Internetu, čo znemožňuje ich odstránenie - dokonca sa po dokončení inštalácie systému Windows automaticky vrátia.
Spoločnosť Lenovo šla ešte ďalej a rozšírila túto techniku na Windows 7. Firmware UEFI skontroluje súbor C: \ Windows \ system32 \ autochk.exe a prepisuje ho vlastnou verziou spoločnosti Lenovo. Tento program beží pri zavádzaní, aby skontroloval systém súborov v systéme Windows, a tento trik umožňuje Lenovo, aby túto škodlivú prax prácu na Windows 7 taky. Stačí povedať, že WPBT nie je ani nevyhnutné - výrobcovia počítačov by mohli mať len svoje firmvér prepisovať systémové súbory systému Windows.
Spoločnosti Microsoft a Lenovo zistili, že s touto možnosťou môže dôjsť k zraniteľnosti v oblasti bezpečnosti, a preto spoločnosť Lenovo našťastie zastavila prepravu počítačov s touto škaredou nevyžiadanou poštou. Lenovo ponúka aktualizáciu, ktorá odstráni LSE z prenosných počítačov a aktualizáciu, ktorá odstráni LSE z stolových počítačov. Avšak, tieto nie sú stiahnuté a nainštalované automaticky, toľko - pravdepodobne najviac - postihnutých PC Lenovo bude aj naďalej mať tento nevyžiadaný nainštalovaný vo svojom firmware UEFI.
Je to len ďalší nepríjemný bezpečnostný problém od výrobcu počítača, ktorý nám priniesol počítače infikované systémom Superfish. Nie je jasné, či iní výrobcovia počítačov zneužili WPBT podobným spôsobom na niektorých svojich počítačoch.
Čo o tom spoločnosť Microsoft hovorí?
Ako poznamenáva spoločnosť Lenovo:
"Spoločnosť Microsoft nedávno vydala aktualizované bezpečnostné pokyny, ako najlepšie implementovať túto funkciu. Lenovo používanie LSE nie je v súlade s týmito pokynmi, a preto spoločnosť Lenovo prestal dodávať s touto pomôckou modely pre stolné počítače a odporúča zákazníkom s týmto nástrojom povoliť spustenie nástroja "vyčistiť", ktorý odstráni súbory LSE z pracovnej plochy.
Inými slovami, funkcia Lenovo LSE, ktorá využíva WPBT na stiahnutie junkware z Internetu, bola povolená podľa pôvodného návrhu a pokynov spoločnosti Microsoft pre funkciu WPBT. Smernice boli len vylepšené.
Spoločnosť Microsoft neponúka veľa informácií o tomto. Existuje len jeden súbor .docx - ani webová stránka - na webových stránkach spoločnosti Microsoft s informáciami o tejto funkcii. Všetko, čo o ňom chcete, sa naučíte čítaním dokumentu. Vysvetľuje odôvodnenie Microsoftu pre zaradenie tejto funkcie pomocou trvalého softvéru proti krádeži ako príklad:
"Prvoradým účelom WPBT je umožniť, aby kritický softvér pretrvával aj vtedy, keď sa operačný systém zmenil alebo bol preinštalovaný v" čistej "konfigurácii. Jeden prípad použitia pre WPBT je umožniť softvér proti krádeži, ktorý musí pretrvávať v prípade odcudzenia, formátovania a reinštalácie zariadenia. V tomto scenári poskytuje funkcia WPBT schopnosť softvéru na ochranu pred krádežou preinštalovať sa do operačného systému a pokračovať v práci podľa očakávania. "
Táto obhajoba tejto funkcie sa do dokumentu pridala až potom, čo ju spoločnosť Lenovo použila na iné účely.
Obsahuje váš počítač softvér WPBT?
Na počítačoch používajúcich protokol WPBT systém Windows číta binárne údaje z tabuľky vo firmvéri UEFI a skopíruje ich do súboru s názvom wpbbin.exe pri zavádzaní.
Môžete skontrolovať vlastný počítač a zistiť, či výrobca zahrnul softvér do WPBT. Ak chcete zistiť, otvorte adresár C: \ Windows \ system32 a vyhľadajte súbor s názvom wpbbin.exe. Súbor C: \ Windows \ system32 \ wpbbin.exe existuje iba vtedy, ak ho Windows skopíruje z firmvéru UEFI. Ak sa to nepodarí, výrobca vášho počítača nepoužil program WPBT na automatické spúšťanie softvéru v počítači.
Vyhýbanie sa programu WPBT a inému softvéru Junkware
Spoločnosť Microsoft nastavila ešte niekoľko pravidiel pre túto funkciu v dôsledku nezodpovedného zlyhania zabezpečenia spoločnosti Lenovo. Je však nepríjemné, že táto funkcia dokonca existuje v prvom rade - a obzvlášť nepríjemné, že by to spoločnosť Microsoft poskytovala výrobcom počítačov bez jasných bezpečnostných požiadaviek alebo usmernení o jej používaní.
Revidované pokyny poučujú OEM, aby zabezpečili, že používatelia môžu túto funkciu skutočne zakázať, ak ju nechcú, ale pokyny spoločnosti Microsoft v minulosti nezastavili výrobcov počítačov pred zneužívaním bezpečnosti systému Windows. Svedčia o tom, že Samsung dodávajú poštové počítače so službou Windows Update, pretože to bolo jednoduchšie ako pracovať so spoločnosťou Microsoft, aby ste zaistili, že do služby Windows Update boli pridané správne ovládače.
Je to ďalší príklad výrobcov počítačov, ktorí vážne neberú bezpečnosť systému Windows. Ak plánujete nákup nového počítača so systémom Windows, odporúčame vám kúpiť si ho v obchode Microsoft, Microsoft sa skutočne stará o tieto počítače a zaistí, že nemajú škodlivý softvér, ako napríklad Lenovo's Superfish, Disable_WindowsUpdate.exe spoločnosti Samsung, funkciu Lenovo LSE, a všetky ostatné nevyžiadanej pošty, ktoré by mohol prísť s typickým počítačom.
Keď sme to napísali v minulosti, mnohí čitatelia odpovedali, že to bolo zbytočné, pretože ste mohli vždy vykonať čistú inštaláciu systému Windows, aby ste sa zbavili nejakého bloatware. No, to zrejme nie je pravda - jediný istý spôsob, ako získať Windows PC bez bloatware, je z obchodu Microsoft Store. Nemalo by to byť tak, ale je to tak.
Čo je obzvlášť znepokojujúce v súvislosti s WPBT, nie je len úplné zlyhanie spoločnosti Lenovo pri jej používaní na vyliečenie bezpečnostných zraniteľností a junkware do čistej inštalácie systému Windows. Čo je obzvlášť znepokojujúce, je to, že spoločnosť Microsoft poskytuje prvé funkcie výrobcom počítačov, a to najmä bez primeraných obmedzení alebo pokynov.
Taktiež trvalo niekoľko rokov, kým sa táto funkcia dokonca spozorovala medzi širším technickým svetom, a to sa stalo iba kvôli nepríjemnej bezpečnostnej zraniteľnosti. Kto vie, čo iné špinavé funkcie sú pečené do Windows pre výrobcov PC zneužívať. Výrobcovia počítačov presúvajú reputáciu systému Windows prostredníctvom hackerov a spoločnosť Microsoft ich musí pod kontrolou.
Image Credit: Cory M. Grenier na Flickr
