Weinig mensen merkten het destijds op, maar Microsoft heeft een nieuwe functie aan Windows 8 toegevoegd waarmee fabrikanten de UEFI-firmware kunnen infecteren met crapware . Windows gaat door met het installeren en herstellen van deze ongewenste software, zelfs nadat u een schone installatie hebt uitgevoerd.
Deze functie is nog steeds aanwezig op Windows 10 en het is absoluut raadselachtig waarom Microsoft pc-fabrikanten zoveel macht zou geven. Het benadrukt het belang van het kopen van pc's in de Microsoft Store - zelfs als u een schone installatie uitvoert, wordt mogelijk niet alle vooraf geïnstalleerde bloatware verwijderd.
WPBT 101
Vanaf Windows 8 kan een pc-fabrikant een programma - in wezen een Windows .exe-bestand - insluiten in de pc's UEFI-firmware . Dit wordt opgeslagen in het gedeelte "Windows Platform Binary Table" (WPBT) van de UEFI-firmware. Telkens wanneer Windows opstart, kijkt het naar de UEFI-firmware voor dit programma, kopieert het deze van de firmware naar de schijf van het besturingssysteem en voert het uit. Windows zelf biedt geen manier om dit te voorkomen. Als de UEFI-firmware van de fabrikant dit aanbiedt, zal Windows het zonder twijfel uitvoeren.
Lenovo's LSE en zijn beveiligingsgaten
VERWANT: Hoe computerfabrikanten worden betaald om uw laptop erger te maken
Het is onmogelijk om over deze twijfelachtige functie te schrijven zonder het op te merken de zaak die het onder de publieke aandacht bracht . Lenovo heeft een groot aantal pc's geleverd met iets dat de "Lenovo Service Engine" (LSE) wordt genoemd. Dit is wat Lenovo beweert: een volledige lijst van getroffen pc's .
Wanneer het programma automatisch wordt uitgevoerd door Windows 8, downloadt de Lenovo Service Engine een programma met de naam OneKey Optimizer en rapporteert een bepaalde hoeveelheid gegevens aan Lenovo. Lenovo stelt systeemservices in die zijn ontworpen om software van internet te downloaden en bij te werken, waardoor het onmogelijk is ze te verwijderen - ze komen zelfs automatisch terug na een schone installatie van Windows .
Lenovo ging nog verder en breidde deze duistere techniek uit naar Windows 7. De UEFI-firmware controleert het bestand C: \ Windows \ system32 \ autochk.exe en overschrijft het met de eigen versie van Lenovo. Dit programma wordt tijdens het opstarten uitgevoerd om het bestandssysteem op Windows te controleren, en deze truc stelt Lenovo in staat om deze vervelende oefening ook op Windows 7 te laten werken. Het laat alleen maar zien dat de WPBT niet eens nodig is - pc-fabrikanten kunnen hun firmwares gewoon Windows-systeembestanden laten overschrijven.
Microsoft en Lenovo hebben hiermee een groot beveiligingsprobleem ontdekt dat kan worden misbruikt, dus Lenovo is gelukkig gestopt met het verzenden van pc's met deze vervelende rotzooi. Lenovo biedt een update die LSE van notebook-pc's zal verwijderen en een update die LSE van desktop-pc's zal verwijderen . Deze worden echter niet automatisch gedownload en geïnstalleerd, dus veel - waarschijnlijk de meest getroffen Lenovo pc's zullen deze rommel blijven installeren in hun UEFI-firmware.
Dit is gewoon weer een vervelend beveiligingsprobleem van de pc-fabrikant die ons heeft gebracht Pc's geïnfecteerd met Superfish . Het is onduidelijk of andere pc-fabrikanten de WPBT op sommige van hun pc's op een vergelijkbare manier hebben misbruikt.
Wat zegt Microsoft hierover?
Zoals Lenovo opmerkt:
“Microsoft heeft onlangs bijgewerkte beveiligingsrichtlijnen uitgebracht over hoe deze functie het beste kan worden geïmplementeerd. Het gebruik van LSE door Lenovo is niet in overeenstemming met deze richtlijnen en daarom is Lenovo gestopt met het verzenden van desktopmodellen met dit hulpprogramma en raadt klanten met dit hulpprogramma aan om een opruimprogramma uit te voeren dat de LSE-bestanden van de desktop verwijdert. ''
Met andere woorden, de Lenovo LSE-functie die de WPBT gebruikt om junkware van internet te downloaden, was toegestaan volgens het oorspronkelijke ontwerp en de richtlijnen van Microsoft voor de WPBT-functie. De richtlijnen zijn nu pas verfijnd.
Microsoft biedt hier niet veel informatie over. Er is gewoon een enkel .docx-bestand - zelfs geen webpagina - op de website van Microsoft met informatie over deze functie. U kunt er alles over leren door het document te lezen. Het verklaart de reden van Microsoft voor het opnemen van deze functie, met behulp van hardnekkige antidiefstalsoftware als voorbeeld:
“Het primaire doel van WPBT is ervoor te zorgen dat kritieke software blijft bestaan, zelfs wanneer het besturingssysteem is gewijzigd of opnieuw is geïnstalleerd in een“ schone ”configuratie. Een use-case voor WPBT is het inschakelen van antidiefstalsoftware die moet blijven bestaan in het geval een apparaat is gestolen, geformatteerd en opnieuw is geïnstalleerd. In dit scenario biedt WPBT-functionaliteit de mogelijkheid voor de antidiefstalsoftware om zichzelf opnieuw in het besturingssysteem te installeren en te blijven werken zoals bedoeld. "
Deze verdediging van de functie werd pas aan het document toegevoegd nadat Lenovo het voor andere doeleinden had gebruikt.
Bevat uw pc WPBT-software?
Op pc's die de WPBT gebruiken, leest Windows de binaire gegevens uit de tabel in de UEFI-firmware en kopieert deze tijdens het opstarten naar een bestand met de naam wpbbin.exe.
U kunt op uw eigen pc kijken of de fabrikant software in de WPBT heeft opgenomen. Om dit te achterhalen, opent u de map C: \ Windows \ system32 en zoekt u naar een bestand met de naam wpbbin.exe . Het bestand C: \ Windows \ system32 \ wpbbin.exe bestaat alleen als Windows het kopieert vanuit de UEFI-firmware. Als het niet aanwezig is, heeft uw pc-fabrikant WPBT niet gebruikt om automatisch software op uw pc uit te voeren.
WPBT en andere junkware vermijden
Microsoft heeft nog een paar regels opgesteld voor deze functie in de nasleep van de onverantwoordelijke beveiligingsfout van Lenovo. Maar het is verbijsterend dat deze functie überhaupt bestaat - en vooral verbijsterend dat Microsoft deze aan pc-fabrikanten zou leveren zonder duidelijke beveiligingsvereisten of richtlijnen voor het gebruik ervan.
De herziene richtlijnen instrueren OEM's om ervoor te zorgen dat gebruikers deze functie daadwerkelijk kunnen uitschakelen als ze deze niet willen, maar de richtlijnen van Microsoft hebben pc-fabrikanten er in het verleden niet van weerhouden om Windows-beveiliging te misbruiken. Getuige Samsung verzendt pc's met Windows Update uitgeschakeld omdat dat gemakkelijker was dan samenwerken met Microsoft om ervoor te zorgen dat de juiste stuurprogramma's aan Windows Update werden toegevoegd.
VERWANT: De enige veilige plek om een Windows-pc te kopen, is de Microsoft Store
Dit is weer een voorbeeld van pc-fabrikanten die Windows-beveiliging niet serieus nemen. Als u van plan bent een nieuwe Windows-pc aan te schaffen, raden we u aan er een te kopen in de Microsoft Store, Microsoft geeft echt om deze pc's en zorgt ervoor dat ze geen schadelijke software bevatten, zoals Lenovo's Superfish, Samsung Disable_WindowsUpdate.exe, Lenovo's LSE-functie, en al het andere troep waarmee een typische pc kan komen.
Toen we dit in het verleden schreven, antwoordden veel lezers dat dit niet nodig was, omdat je altijd gewoon een schone installatie van Windows kon uitvoeren om bloatware te verwijderen. Nou, blijkbaar is dat niet waar - de enige onfeilbare manier om een bloatware-vrije Windows-pc te krijgen, is via de Microsoft Store . Het zou niet zo moeten zijn, maar het is.
Wat vooral verontrustend is aan de WPBT, is niet alleen het volledige falen van Lenovo om het te gebruiken om beveiligingsproblemen en junkware om te zetten in schone installaties van Windows. Wat vooral verontrustend is, is dat Microsoft in de eerste plaats dit soort functies aan pc-fabrikanten aanbiedt, vooral zonder de juiste beperkingen of richtlijnen.
Het duurde ook enkele jaren voordat deze functie zelfs werd opgemerkt in de bredere technische wereld, en dat gebeurde alleen vanwege een vervelende beveiligingslek. Wie weet welke andere vervelende functies in Windows zijn ingebakken zodat pc-fabrikanten misbruik kunnen maken. Pc-fabrikanten slepen de reputatie van Windows door de modder en Microsoft moet ze onder controle krijgen.
Afbeelding tegoed: Cory M. Grenier op Flickr
