Poucas pessoas perceberam na época, mas a Microsoft adicionou um novo recurso ao Windows 8 que permite aos fabricantes infectar o firmware UEFI com lixo . O Windows continuará instalando e ressuscitando esse software lixo, mesmo depois de executar uma instalação limpa.
Esse recurso continua presente no Windows 10 e é absolutamente misterioso por que a Microsoft daria aos fabricantes de PC tanto poder. Ele destaca a importância de comprar PCs na Microsoft Store - mesmo executando uma instalação limpa pode não se livrar de todo o bloatware pré-instalado.
WPBT 101
Começando com o Windows 8, um fabricante de PC pode incorporar um programa - um arquivo .exe do Windows, essencialmente - no PC Firmware UEFI . Isso é armazenado na seção “Windows Platform Binary Table” (WPBT) do firmware UEFI. Sempre que o Windows inicializa, ele examina o firmware UEFI para este programa, copia-o do firmware para a unidade do sistema operacional e o executa. O próprio Windows não fornece nenhuma maneira de impedir que isso aconteça. Se o firmware UEFI do fabricante o oferecer, o Windows o executará sem questionar.
LSE da Lenovo e seus furos de segurança
RELACIONADOS: Como os fabricantes de computadores são pagos para tornar seu laptop pior
É impossível escrever sobre este recurso questionável sem notar o caso que o trouxe à atenção do público . A Lenovo enviou uma variedade de PCs com algo chamado “Lenovo Service Engine” (LSE) habilitado. Aqui está o que a Lenovo afirma ser uma lista completa de PCs afetados .
Quando o programa é executado automaticamente pelo Windows 8, o Lenovo Service Engine faz o download de um programa chamado OneKey Optimizer e relata alguns dados de volta para a Lenovo. A Lenovo configura serviços de sistema projetados para baixar e atualizar software da Internet, tornando impossível removê-los - eles até mesmo voltarão automaticamente após uma instalação limpa do Windows .
A Lenovo foi ainda mais longe, estendendo essa técnica obscura para o Windows 7. O firmware UEFI verifica o arquivo C: \ Windows \ system32 \ autochk.exe e o substitui pela própria versão da Lenovo. Este programa é executado na inicialização para verificar o sistema de arquivos no Windows, e esse truque permite que a Lenovo faça essa prática desagradável funcionar no Windows 7 também. Isso só mostra que o WPBT nem é necessário - os fabricantes de PC podem simplesmente fazer com que seus firmwares sobrescrevam os arquivos de sistema do Windows.
A Microsoft e a Lenovo descobriram uma grande vulnerabilidade de segurança com isso que pode ser explorada, então a Lenovo felizmente parou de enviar PCs com esse lixo nojento. Ofertas da Lenovo uma atualização que irá remover LSE de notebooks e uma atualização que removerá LSE de PCs desktop . No entanto, eles não são baixados e instalados automaticamente, muitos - provavelmente a maioria - dos PCs Lenovo afetados continuarão a ter esse lixo instalado em seu firmware UEFI.
Este é apenas mais um problema de segurança desagradável do fabricante do PC que nos trouxe PCs infectados com Superfish . Não está claro se outros fabricantes de PC abusaram do WPBT de forma semelhante em alguns de seus PCs.
O que a Microsoft diz sobre isso?
Como a Lenovo observa:
“A Microsoft lançou recentemente diretrizes de segurança atualizadas sobre a melhor forma de implementar esse recurso. O uso de LSE pela Lenovo não é consistente com essas diretrizes e, portanto, a Lenovo parou de enviar modelos de desktop com este utilitário e recomenda que os clientes com este utilitário habilitado executem um utilitário de “limpeza” que remove os arquivos LSE do desktop. ”
Em outras palavras, o recurso Lenovo LSE que usa o WPBT para baixar junkware da Internet foi permitido pelo design original da Microsoft e pelas diretrizes para o recurso WPBT. As diretrizes só agora foram refinadas.
A Microsoft não oferece muitas informações sobre isso. Há apenas um único arquivo .docx - nem mesmo uma página da web - no site da Microsoft com informações sobre esse recurso. Você pode aprender tudo o que quiser sobre isso lendo o documento. Ele explica a justificativa da Microsoft para incluir esse recurso, usando software anti-roubo persistente como exemplo:
“O objetivo principal do WPBT é permitir que o software crítico persista, mesmo quando o sistema operacional foi alterado ou reinstalado em uma configuração“ limpa ”. Um caso de uso do WPBT é habilitar o software antifurto que deve persistir no caso de um dispositivo ser roubado, formatado e reinstalado. Neste cenário, a funcionalidade WPBT fornece a capacidade para o software anti-roubo se reinstalar no sistema operacional e continuar a funcionar conforme planejado. ”
Essa defesa do recurso só foi adicionada ao documento depois que a Lenovo o usou para outros fins.
O seu PC inclui software WPBT?
Em PCs que usam o WPBT, o Windows lê os dados binários da tabela no firmware UEFI e os copia para um arquivo chamado wpbbin.exe na inicialização.
Você pode verificar seu próprio PC para ver se o fabricante incluiu software no WPBT. Para descobrir, abra o diretório C: \ Windows \ system32 e procure um arquivo chamado wpbbin.exe . O arquivo C: \ Windows \ system32 \ wpbbin.exe existe apenas se o Windows o copia do firmware UEFI. Se não estiver presente, o fabricante do seu PC não usou o WPBT para executar o software automaticamente no seu PC.
Evitando WPBT e outros Junkware
A Microsoft definiu mais algumas regras para esse recurso após a falha de segurança irresponsável da Lenovo. Mas é desconcertante que esse recurso exista em primeiro lugar - e especialmente desconcertante que a Microsoft o forneça aos fabricantes de PC sem quaisquer requisitos ou diretrizes de segurança claros sobre seu uso.
As diretrizes revisadas instruem os OEMs a garantir que os usuários possam realmente desativar esse recurso se não quiserem, mas as diretrizes da Microsoft não impediram os fabricantes de PC de abusar da segurança do Windows no passado. Testemunha PCs de remessa Samsung com Windows Update desativado porque isso era mais fácil do que trabalhar com a Microsoft para garantir que os drivers adequados fossem adicionados ao Windows Update.
RELACIONADOS: O único lugar seguro para comprar um PC com Windows é a Microsoft Store
Este é mais um exemplo de fabricantes de PC que não levam a sério a segurança do Windows. Se você está planejando comprar um novo PC com Windows, recomendamos que você compre um na Microsoft Store. A Microsoft realmente se preocupa com esses PCs e garante que eles não tenham softwares prejudiciais como Superfish da Lenovo, Disable_WindowsUpdate.exe da Samsung, recurso LSE da Lenovo, e todo o outro lixo que um PC típico pode vir.
Quando escrevemos isso no passado, muitos leitores responderam que isso era desnecessário porque você sempre pode executar uma instalação limpa do Windows para se livrar de qualquer bloatware. Bem, aparentemente isso não é verdade - a única maneira infalível de obter um PC Windows sem bloatware é pela Microsoft Store . Não deveria ser assim, mas é.
O que é particularmente preocupante sobre o WPBT não é apenas a falha total da Lenovo em usá-lo para transformar vulnerabilidades de segurança e lixo eletrônico em instalações limpas do Windows. O que é especialmente preocupante é a Microsoft fornecer recursos como este aos fabricantes de PC em primeiro lugar - especialmente sem as limitações ou orientações adequadas.
Também levou vários anos até que esse recurso se tornasse notado no mundo mais amplo da tecnologia, e isso só aconteceu devido a uma vulnerabilidade de segurança desagradável. Quem sabe quais outros recursos desagradáveis são incorporados ao Windows para os fabricantes de PC abusarem. Os fabricantes de PC estão arrastando a reputação do Windows para o lixo e a Microsoft precisa colocá-los sob controle.
Crédito da imagem: Cory M. Grenier no Flickr
