Poche persone l'hanno notato all'epoca, ma Microsoft ha aggiunto una nuova funzionalità a Windows 8 che consente ai produttori di infettare il firmware UEFI con crapware . Windows continuerà a installare e resuscitare questo software spazzatura anche dopo aver eseguito un'installazione pulita.
Questa funzionalità continua ad essere presente su Windows 10 ed è assolutamente sconcertante il motivo per cui Microsoft darebbe ai produttori di PC così tanto potere. Sottolinea l'importanza di acquistare PC da Microsoft Store: anche eseguire un'installazione pulita potrebbe non eliminare tutti i bloatware preinstallati.
WPBT 101
A partire da Windows 8, un produttore di PC può incorporare un programma, essenzialmente un file .exe di Windows, nel PC UEFI firmware . Questo è memorizzato nella sezione "Tabella binaria della piattaforma Windows" (WPBT) del firmware UEFI. Ogni volta che Windows si avvia, esamina il firmware UEFI per questo programma, lo copia dal firmware all'unità del sistema operativo e lo esegue. Windows stesso non fornisce alcun modo per impedire che ciò accada. Se il firmware UEFI del produttore lo offre, Windows lo eseguirà senza dubbi.
LSE di Lenovo e i suoi buchi di sicurezza
RELAZIONATO: Come vengono pagati i produttori di computer per peggiorare il tuo laptop
È impossibile scrivere su questa caratteristica discutibile senza notare il caso che l'ha portata all'attenzione del pubblico . Lenovo ha fornito una varietà di PC con qualcosa chiamato "Lenovo Service Engine" (LSE) abilitato. Ecco cosa afferma Lenovo un elenco completo dei PC interessati .
Quando il programma viene eseguito automaticamente da Windows 8, Lenovo Service Engine scarica un programma chiamato OneKey Optimizer e riporta una certa quantità di dati a Lenovo. Lenovo configura i servizi di sistema progettati per scaricare e aggiornare il software da Internet, rendendo impossibile rimuoverli: torneranno anche automaticamente dopo un'installazione pulita di Windows .
Lenovo è andato anche oltre, estendendo questa losca tecnica a Windows 7. Il firmware UEFI controlla il file C: \ Windows \ system32 \ autochk.exe e lo sovrascrive con la versione di Lenovo. Questo programma viene eseguito all'avvio per controllare il file system su Windows e questo trucco consente a Lenovo di far funzionare questa brutta pratica anche su Windows 7. Ciò dimostra che il WPBT non è nemmeno necessario: i produttori di PC potrebbero semplicemente fare in modo che i loro firmware sovrascrivano i file di sistema di Windows.
Microsoft e Lenovo hanno scoperto una grave vulnerabilità di sicurezza che può essere sfruttata, quindi Lenovo ha fortunatamente smesso di spedire PC con questa brutta spazzatura. Lenovo offre un aggiornamento che rimuoverà LSE dai PC notebook e un aggiornamento che rimuoverà LSE dai PC desktop . Tuttavia, questi non vengono scaricati e installati automaticamente, quindi molti - probabilmente la maggior parte - dei PC Lenovo interessati continueranno ad avere questa spazzatura installata nel firmware UEFI.
Questo è solo un altro brutto problema di sicurezza del produttore del PC che ci ha portato PC infettati da Superfish . Non è chiaro se altri produttori di PC abbiano abusato del WPBT in modo simile su alcuni dei loro PC.
Cosa dice Microsoft in merito?
Come osserva Lenovo:
“Microsoft ha recentemente rilasciato linee guida di sicurezza aggiornate su come implementare al meglio questa funzionalità. L'utilizzo di LSE da parte di Lenovo non è coerente con queste linee guida, pertanto Lenovo ha interrotto la spedizione di modelli desktop con questa utilità e consiglia ai clienti con questa utilità abilitata di eseguire un'utilità di "pulizia" che rimuove i file LSE dal desktop. "
In altre parole, la funzionalità Lenovo LSE che utilizza WPBT per scaricare junkware da Internet era consentita in base al design originale di Microsoft e alle linee guida per la funzione WPBT. Solo ora le linee guida sono state perfezionate.
Microsoft non offre molte informazioni su questo. C'è solo un singolo file .docx - nemmeno una pagina web - sul sito web di Microsoft con informazioni su questa funzione. Puoi imparare tutto quello che vuoi al riguardo leggendo il documento. Spiega la logica di Microsoft per includere questa funzione, utilizzando un software antifurto persistente come esempio:
“Lo scopo principale di WPBT è consentire al software critico di persistere anche quando il sistema operativo è cambiato o è stato reinstallato in una configurazione" pulita ". Un caso d'uso per WPBT è abilitare il software antifurto che deve persistere nel caso in cui un dispositivo sia stato rubato, formattato e reinstallato. In questo scenario, la funzionalità WPBT consente al software antifurto di reinstallarsi nel sistema operativo e continuare a funzionare come previsto. "
Questa difesa della funzione è stata aggiunta al documento solo dopo che Lenovo l'ha utilizzata per altri scopi.
Il tuo PC include il software WPBT?
Sui PC che utilizzano WPBT, Windows legge i dati binari dalla tabella nel firmware UEFI e li copia in un file denominato wpbbin.exe all'avvio.
Puoi controllare il tuo PC per vedere se il produttore ha incluso il software nel WPBT. Per scoprirlo, apri la directory C: \ Windows \ system32 e cerca un file denominato wpbbin.exe . Il file C: \ Windows \ system32 \ wpbbin.exe esiste solo se Windows lo copia dal firmware UEFI. Se non è presente, il produttore del tuo PC non ha utilizzato WPBT per eseguire automaticamente il software sul tuo PC.
Evitare WPBT e altri junkware
Microsoft ha stabilito alcune regole in più per questa funzione sulla scia dell'irresponsabile errore di sicurezza di Lenovo. Ma è sconcertante che questa funzionalità esista anche in primo luogo - e soprattutto sconcertante che Microsoft la fornisca ai produttori di PC senza requisiti di sicurezza chiari o linee guida sul suo utilizzo.
Le linee guida riviste indicano agli OEM di garantire che gli utenti possano effettivamente disabilitare questa funzione se non la desiderano, ma le linee guida di Microsoft non hanno impedito ai produttori di PC di abusare della sicurezza di Windows in passato. Testimone PC di spedizione Samsung con Windows Update disabilitato perché era più facile che lavorare con Microsoft per garantire che i driver corretti fossero aggiunti a Windows Update.
RELAZIONATO: L'unico posto sicuro per acquistare un PC Windows è il Microsoft Store
Questo è ancora un altro esempio di produttori di PC che non prendono sul serio la sicurezza di Windows. Se hai intenzione di acquistare un nuovo PC Windows, ti consigliamo di acquistarne uno da Microsoft Store, Microsoft si preoccupa effettivamente di questi PC e garantisce che non abbiano software dannoso come Superfish di Lenovo, Disable_WindowsUpdate.exe di Samsung, funzionalità LSE di Lenovo, e tutta l'altra spazzatura con cui potrebbe venire un tipico PC.
Quando l'abbiamo scritto in passato, molti lettori hanno risposto che non era necessario perché si poteva sempre eseguire un'installazione pulita di Windows per sbarazzarsi di qualsiasi bloatware. Ebbene, a quanto pare non è vero - l'unico modo sicuro per ottenere un PC Windows senza bloatware è da Microsoft Store . Non dovrebbe essere in questo modo, ma lo è.
Ciò che preoccupa particolarmente il WPBT non è solo il completo fallimento di Lenovo nell'usarlo per trasformare le vulnerabilità di sicurezza e il junkware in installazioni pulite di Windows. Ciò che è particolarmente preoccupante è che Microsoft fornisce funzionalità come questa ai produttori di PC in primo luogo, soprattutto senza limitazioni o indicazioni adeguate.
Ci sono voluti anche diversi anni prima che questa funzione venisse notata nel più ampio mondo tecnologico, e ciò è accaduto solo a causa di una brutta vulnerabilità di sicurezza. Chissà quali altre brutte funzionalità sono integrate in Windows perché i produttori di PC possano abusarne. I produttori di PC stanno trascinando la reputazione di Windows nel fango e Microsoft ha bisogno di tenerli sotto controllo.
Credito immagine: Cory M. Grenier su Flickr
