Hjemmeside » hvordan » Zombie Crapware Sådan fungerer Windows Platform Binærbord

    Zombie Crapware Sådan fungerer Windows Platform Binærbord

    Få mennesker bemærkede på det tidspunkt, men Microsoft tilføjede en ny funktion til Windows 8, som giver producenterne mulighed for at inficere UEFI-firmware med crapware. Windows fortsætter med at installere og genoprette denne junk-software, selv efter at du har udført en ren installation.

    Denne funktion fortsætter med at være til stede i Windows 10, og det er helt mystificerende, hvorfor Microsoft ville give pc-producenter så meget magt. Det fremhæver betydningen af ​​at købe pc'er fra Microsoft Store - selv at udføre en ren installation må ikke slippe af med alle forudinstallerede bloatware.

    WPBT 101

    Begyndende med Windows 8 kan en pc-producent indlejre et program - en Windows .exe-fil, i det væsentlige - i pc'ens UEFI-firmware. Dette gemmes i afsnittet "Windows Platform Binary Table" (WPBT) i UEFI-firmwaren. Når Windows starter, ser det på UEFI-firmwaren til dette program, kopierer det fra firmwaren til operativsystemdrevet og kører det. Windows selv giver ingen mulighed for at stoppe dette. Hvis producentens UEFI-firmware tilbyder det, løber Windows uden problemer.

    Lenovos LSE og dens sikkerhedshuller

    Det er umuligt at skrive om denne tvivlsomme egenskab uden at bemærke den sag, der bragte den til offentlighedens opmærksomhed. Lenovo sendte en række pc'er med noget kaldet "Lenovo Service Engine" (LSE) aktiveret. Her er hvad Lenovo hævder er en komplet liste over berørte pc'er.

    Når programmet køres automatisk af Windows 8, downloader Lenovo Service Engine et program kaldet OneKey Optimizer og rapporterer en del data tilbage til Lenovo. Lenovo opretter systemtjenester, der er designet til at downloade og opdatere software fra internettet, hvilket gør det umuligt at fjerne dem - de vil selv automatisk komme tilbage efter en ren installation af Windows.

    Lenovo gik endnu længere og udvide denne skyggefulde teknik til Windows 7. UEFI-firmware kontrollerer filen C: \ Windows \ system32 \ autochk.exe og overskriver den med Lenovos egen version. Dette program kører ved opstart for at kontrollere filsystemet på Windows, og dette trick gør det muligt for Lenovo at gøre denne ubehagelige praksis på Windows 7 også. Det viser bare, at WPBT ikke engang er nødvendig - PC-producenter kunne bare få deres firmware til at overskrive Windows-systemfiler.

    Microsoft og Lenovo opdagede en stor sikkerhedssårbarhed med dette, der kan udnyttes, så Lenovo har heldigvis stoppet forsendelses-pc'er med denne uhyggelige junk. Lenovo tilbyder en opdatering, der fjerner LSE fra bærbare pc'er og en opdatering, der fjerner LSE fra stationære pc'er. Men disse downloades ikke og installeres automatisk, så mange - sandsynligvis mest berørte Lenovo-pc'er vil fortsat have denne junk installeret i deres UEFI-firmware.

    Dette er bare et andet ubehageligt sikkerhedsproblem fra pc-producenten, der bragte os pc'er inficeret med Superfish. Det er uklart, om andre pc-producenter har misbrugt WPBT på lignende måde på nogle af deres pc'er.

    Hvad siger Microsoft om dette?

    Som Lenovo bemærker:

    "Microsoft har for nylig udgivet opdaterede sikkerhedsretningslinjer for, hvordan du bedst gennemfører denne funktion. Lenovos brug af LSE er ikke i overensstemmelse med disse retningslinjer, og derfor har Lenovo stoppet forsendelse af skrivebordsmodeller med dette værktøj og anbefaler kunder med dette hjælpeværktøj aktiveret. Kør et "oprydning" -værktøj, der fjerner LSE-filer fra skrivebordet. "

    Med andre ord, Lenovo LSE-funktionen, der bruger WPBT til at downloade junkware fra internettet, blev tilladt under Microsofts oprindelige design og retningslinjer for WPBT-funktionen. Retningslinjerne er kun nu blevet raffineret.

    Microsoft tilbyder ikke meget information om dette. Der er kun en enkelt .docx-fil - ikke engang en webside - på Microsofts hjemmeside med oplysninger om denne funktion. Du kan lære alt hvad du vil om det ved at læse dokumentet. Det forklarer Microsofts begrundelse for at inkludere denne funktion ved hjælp af vedvarende tyverisikringssoftware som et eksempel:

    "Det primære formål med WPBT er at tillade, at kritisk software fortsætter, selvom operativsystemet er ændret eller blevet geninstalleret i en" ren "konfiguration. Et brugs tilfælde til WPBT er at aktivere tyverisikringssoftware, som skal fortsætte, hvis en enhed er blevet stjålet, formateret og geninstalleret. I dette scenario giver WPBT-funktionaliteten evnen til tyverisikringssoftwaren at geninstallere sig i operativsystemet og fortsætte med at fungere efter hensigten. "

    Dette forsvar af funktionen blev kun tilføjet til dokumentet, efter at Lenovo brugte det til andre formål.

    Inkluderer din pc WPBT-software?

    På pc'er, der bruger WPBT, læser Windows de binære data fra tabellen i UEFI-firmware og kopierer den til en fil ved navn wpbbin.exe ved opstart.

    Du kan tjekke din egen pc for at se, om producenten har inkluderet software i WPBT. For at finde ud af, skal du åbne mappen C: \ Windows \ system32 og søge efter en fil med navnet wpbbin.exe. Filen C: \ Windows \ system32 \ wpbbin.exe eksisterer kun, hvis Windows kopierer den fra UEFI-firmwaren. Hvis den ikke er til stede, har din pc-producent ikke brugt WPBT til automatisk at køre software på din pc.

    Undgå WPBT og andet junkware

    Microsoft har oprettet nogle få regler for denne funktion i kølvandet på Lenovos uansvarlige sikkerhedsfejl. Men det er forbløffende, at denne funktion selv eksisterer i første omgang - og især forbløffende, at Microsoft ville give det til pc-producenter uden nogen klare sikkerhedskrav eller retningslinjer for brugen heraf.

    De reviderede retningslinjer instruerer OEM'er for at sikre, at brugerne rent faktisk kan deaktivere denne funktion, hvis de ikke vil have det, men Microsofts retningslinjer har ikke stoppet pc-producenterne fra at misbruge Windows-sikkerhed i fortiden. Vidne til Samsung-forsendelses-pc'er med Windows Update deaktiveret, fordi det var nemmere end at arbejde med Microsoft for at sikre, at de korrekte drivere blev tilføjet til Windows Update.

    Dette er endnu et eksempel på, at pc-producenter ikke tager Windows-sikkerhed alvorligt. Hvis du planlægger at købe en ny Windows-pc, anbefaler vi, at du køber en fra Microsoft Store, Microsoft interesserer sig faktisk for disse pc'er og sikrer, at de ikke har skadelig software som Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-funktion, og alt andet junk kan en typisk pc komme med.

    Da vi skrev dette tidligere, svarede mange læsere, at dette var unødvendigt, fordi du altid altid kunne udføre en ren installation af Windows for at slippe af med nogen bloatware. Nå, det er tilsyneladende ikke sandt - den eneste surefire måde at få en bloatware-fri Windows-pc fra, er fra Microsoft Store. Det burde ikke være sådan, men det er.


    Hvad der er særlig bekymrende over WPBT, er ikke bare Lenovos fuldstændige fejl i at bruge det til at bage sikkerhedssvagheder og junkware til rene installationer af Windows. Hvad der især er foruroligende er, at Microsoft leverer funktioner som dette til pc-producenter i første omgang - især uden ordentlige begrænsninger eller vejledning.

    Det tog også flere år, før denne funktion blev engang bemærket blandt den bredere tech verden, og det skete kun på grund af en ubehagelig sikkerhedssårbarhed. Hvem ved hvad andre ubehagelige funktioner bages i Windows, så pc-producenterne misbruger. PC-producenter trækker Windows 'ry gennem mucken, og Microsoft har brug for at få dem under kontrol.

    Billedkredit: Cory M. Grenier på Flickr