Få mennesker la merke til den gangen, men Microsoft la til en ny funksjon i Windows 8 som lar produsenter infisere UEFI-firmware med crapware . Windows vil fortsette å installere og gjenopplive denne søppelprogramvaren, selv etter at du har utført en reninstallasjon.
Denne funksjonen fortsetter å være til stede på Windows 10, og det er helt mystifiserende hvorfor Microsoft ville gi PC-produsenter så mye strøm. Det fremhever viktigheten av å kjøpe PC-er fra Microsoft Store - selv om du utfører en ren installasjon, kan det hende at du ikke blir kvitt all den forhåndsinstallerte bloatware.
WPBT 101
Fra og med Windows 8 kan en PC-produsent legge inn et program - en Windows .exe-fil, i hovedsak - i PC-en UEFI firmware . Dette lagres i delen "Windows Platform Binary Table" (WPBT) i UEFI-firmware. Når Windows starter, ser det på UEFI-fastvaren for dette programmet, kopierer det fra fastvaren til operativsystemstasjonen og kjører den. Windows i seg selv gir ingen måte å stoppe dette. Hvis produsentens UEFI-firmware tilbyr det, kjører Windows det uten spørsmål.
Lenovos LSE og dens sikkerhetshull
I SLEKT: Hvordan datamaskinprodusenter betales for å gjøre den bærbare datamaskinen verre
Det er umulig å skrive om denne tvilsomme funksjonen uten å merke seg det saken som førte den til offentlig oppmerksomhet . Lenovo sendte en rekke PC-er med noe som ble kalt "Lenovo Service Engine" (LSE) aktivert. Her er hva Lenovo hevder er en komplett liste over berørte PC-er .
Når programmet kjøres automatisk av Windows 8, laster ned Lenovo Service Engine et program kalt OneKey Optimizer og rapporterer noe datamengde tilbake til Lenovo. Lenovo setter opp systemtjenester designet for å laste ned og oppdatere programvare fra Internett, noe som gjør det umulig å fjerne dem - de kommer til og med automatisk tilbake etter en ren installasjon av Windows .
Lenovo gikk enda lenger, utvidet denne skyggefulle teknikken til Windows 7. UEFI-firmware sjekker C: \ Windows \ system32 \ autochk.exe-filen og overskriver den med Lenovos egen versjon. Dette programmet kjører ved oppstart for å sjekke filsystemet på Windows, og dette trikset gjør at Lenovo kan få denne ekle øvelsen til å fungere på Windows 7 også. Det viser bare at WPBT ikke en gang er nødvendig - PC-produsenter kan bare få firmware til å overskrive Windows-systemfiler.
Microsoft og Lenovo oppdaget et stort sikkerhetsproblem med dette som kan utnyttes, så Lenovo har heldigvis sluttet å sende PC-er med dette stygge søppelet. Lenovo tilbyr en oppdatering som vil fjerne LSE fra bærbare PC-er og en oppdatering som fjerner LSE fra stasjonære PC-er . Imidlertid blir disse ikke lastet ned og installert automatisk, så mange - sannsynligvis de mest berørte Lenovo-PCene vil fortsette å ha dette søppelet installert i UEFI-firmware.
Dette er bare et annet stygt sikkerhetsproblem fra PC-produsenten som brakte oss PCer infisert med Superfish . Det er uklart om andre PC-produsenter har misbrukt WPBT på lignende måte på noen av PCene.
Hva sier Microsoft om dette?
Som Lenovo bemerker:
“Microsoft har nylig gitt ut oppdaterte sikkerhetsretningslinjer for hvordan du best implementerer denne funksjonen. Lenovos bruk av LSE er ikke i samsvar med disse retningslinjene, og derfor har Lenovo sluttet å sende stasjonære modeller med dette verktøyet og anbefaler kunder med dette verktøyet aktivert å kjøre et "oppryddingsverktøy" som fjerner LSE-filene fra skrivebordet. "
Med andre ord, Lenovo LSE-funksjonen som bruker WPBT for å laste ned søppelpost fra Internett, var tillatt under Microsofts originale design og retningslinjer for WPBT-funksjonen. Retningslinjene er først nå forbedret.
Microsoft tilbyr ikke mye informasjon om dette. Det er bare en enkelt .docx-fil - ikke engang en webside - på Microsofts nettsted med informasjon om denne funksjonen. Du kan lære alt du vil om det ved å lese dokumentet. Det forklarer Microsofts begrunnelse for å inkludere denne funksjonen ved å bruke vedvarende tyveriprogramvare som et eksempel:
“Det primære formålet med WPBT er å la kritisk programvare fortsette, selv når operativsystemet er endret eller installert på nytt i en“ ren ”konfigurasjon. Én brukssak for WPBT er å aktivere tyveriprogramvare som kreves for å vedvare i tilfelle en enhet er stjålet, formatert og installert på nytt. I dette scenariet gir WPBT-funksjonalitet muligheten for tyveribeskyttelsesprogramvaren til å installere seg selv i operativsystemet og fortsette å jobbe som forutsatt. ”
Dette forsvaret av funksjonen ble først lagt til dokumentet etter at Lenovo brukte det til andre formål.
Inkluderer PCen din WPBT-programvare?
På PC-er som bruker WPBT, leser Windows binære data fra tabellen i UEFI-firmware og kopierer dem til en fil som heter wpbbin.exe ved oppstart.
Du kan sjekke din egen PC for å se om produsenten har inkludert programvare i WPBT. For å finne ut av det, åpne C: \ Windows \ system32-katalogen og se etter en fil som heter wpbbin.exe . C: \ Windows \ system32 \ wpbbin.exe-filen eksisterer bare hvis Windows kopierer den fra UEFI-fastvaren. Hvis den ikke er tilstede, har ikke PC-produsenten brukt WPBT til å kjøre programvare automatisk på PC-en.
Unngå WPBT og annen søppelpost
Microsoft har satt opp noen flere regler for denne funksjonen i kjølvannet av Lenovos uansvarlige sikkerhetssvikt. Men det er forbløffende at denne funksjonen til og med eksisterer i utgangspunktet - og spesielt forvirrende at Microsoft vil gi den til PC-produsenter uten noen klare sikkerhetskrav eller retningslinjer for bruken.
De reviderte retningslinjene instruerer OEM-er om å sikre at brukere faktisk kan deaktivere denne funksjonen hvis de ikke vil ha den, men Microsofts retningslinjer har ikke hindret PC-produsenter i å misbruke Windows-sikkerhet tidligere. Vitne Samsung-frakt-PCer med Windows Update deaktivert fordi det var enklere enn å jobbe med Microsoft for å sikre at riktige drivere ble lagt til Windows Update.
I SLEKT: Det eneste trygge stedet å kjøpe en Windows-PC er Microsoft Store
Dette er nok et eksempel på at PC-produsenter ikke tar Windows-sikkerhet på alvor. Hvis du planlegger å kjøpe en ny Windows-PC, anbefaler vi at du kjøper en fra Microsoft Store, Microsoft bryr seg faktisk om disse PCene og sørger for at de ikke har skadelig programvare som Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-funksjon, og alt annet søppel som en typisk PC kan komme med.
Da vi skrev dette tidligere, svarte mange lesere at dette var unødvendig fordi du alltid bare kunne utføre en ren installasjon av Windows for å kvitte deg med bloatware. Vel, tilsynelatende er det ikke sant - den eneste sikre måten å få en bloatware-fri Windows-PC er fra Microsoft Store . Det skal ikke være slik, men det er det.
Det som er spesielt plagsomt med WPBT, er ikke bare Lenovos komplette feil i å bruke den til å bake sikkerhetsproblemer og søppelpost til rene installasjoner av Windows. Det som er spesielt bekymringsfullt er at Microsoft leverer funksjoner som dette til PC-produsenter i utgangspunktet - spesielt uten riktig begrensning eller veiledning.
Det tok også flere år før denne funksjonen til og med ble lagt merke til blant den bredere teknologiverden, og det skjedde bare på grunn av en stygg sikkerhetssårbarhet. Hvem vet hvilke andre ekle funksjoner som er bakt inn i Windows for PC-produsenter å misbruke. PC-produsenter drar Windows ’rykte gjennom kløften, og Microsoft trenger å få dem under kontroll.
Bildekreditt: Cory M. Grenier på Flickr
