sv.phhsnews.com


sv.phhsnews.com / Zombie Crapware: Hur Windows Platform Binärbord fungerar

Zombie Crapware: Hur Windows Platform Binärbord fungerar


Få personer märkte då, men Microsoft lade till en ny funktion till Windows 8 som gör det möjligt för tillverkare att infektera UEFI-firmware med crapware. Windows fortsätter att installera och återuppliva denna skräpprogram även efter att du utför en ren installation.

Den här funktionen fortsätter att vara närvarande i Windows 10, och det är absolut mystifying varför Microsoft skulle ge PC-tillverkare så mycket ström. Det framhäver vikten av att köpa datorer från Microsoft Store - även om en ren installation inte kan bli av med allt förinstallerat bloatware.

WPBT 101

Från och med Windows 8 kan en PC-tillverkare bädda in ett program - en Windows .exe-fil, i huvudsak - i datorns UEFI-firmware. Detta lagras i avsnittet "Windows Platform Binary Table" (WPBT) i UEFI-firmware. När Windows startar, ser det på UEFI-firmware för det här programmet, kopierar det från firmware till operativsystemenheten och kör det. Windows ger inget sätt att stoppa detta.

Lenovos LSE och dess säkerhetshål

RELATERAD: Hur tillverkar datorproducenterna betalt för att göra din dator värre?

Det är omöjligt att skriva på tillverkarens UEFI-firmware om denna tvivelaktiga funktion utan att notera det fall som gjorde det offentligt uppmärksamt. Lenovo skickade en mängd olika datorer med något som kallades "Lenovo Service Engine" (LSE) aktiverat. Här är vad Lenovo hävdar är en komplett lista över drabbade datorer.

När programmet körs automatiskt av Windows 8 hämtar Lenovos servicemotor ett program som heter OneKey Optimizer och rapporterar viss mängd data tillbaka till Lenovo. Lenovo sätter upp systemtjänster som är avsedda att ladda ner och uppdatera programvara från Internet, vilket gör det omöjligt att ta bort dem - de kommer även automatiskt att komma tillbaka efter en ren installation av Windows.

Lenovo gick ännu längre och utvidgade den här skuggiga tekniken till Windows 7. UEFI-firmware kontrollerar filen C: Windows system32 autochk.exe och skriver över den med Lenovos egen version. Detta program körs vid start för att kontrollera filsystemet på Windows, och det här tricket gör det möjligt för Lenovo att göra detta otrevliga övningsarbete på Windows 7 också. Det visar bara att WPBT inte ens är nödvändigt - PC-tillverkare kan bara få sina firmware att skriva över Windows-systemfiler.

Microsoft och Lenovo upptäckte ett stort säkerhetsproblem med detta som kan utnyttjas, så Lenovo har tacksamt slutat skicka Datorer med denna otäcka skräp. Lenovo erbjuder en uppdatering som tar bort LSE från bärbara datorer och en uppdatering som tar bort LSE från stationära datorer. Men de laddas inte ner och installeras automatiskt. Så många - förmodligen mest drabbade Lenovo-datorer fortsätter att ha denna skräp installerad i sin UEFI-firmware.

Detta är bara ett annat otäckt säkerhetsproblem från PC-tillverkaren som förde oss datorer infekterad med Superfish. Det är oklart om andra PC-tillverkare har missbrukat WPBT på samma sätt på några av sina datorer.

Vad säger Microsoft om detta?

Som Lenovo noterar:

"Microsoft har nyligen släppt uppdaterade säkerhetsriktlinjer om hur för att bäst genomföra denna funktion. Lenovos användning av LSE överensstämmer inte med dessa riktlinjer och så har Lenovo slutat att skicka skrivbordsmodeller med det här verktyget och rekommenderar att kunder med det här verktyget är aktiverade kör ett "clean up" -verktyg som tar bort LSE-filer från skrivbordet. "

I andra ord, Lenovo LSE-funktionen som använder WPBT för att ladda ner junkware från Internet, var tillåtet enligt Microsofts ursprungliga design och riktlinjer för WPBT-funktionen. Riktlinjerna har nu bara raffinerats.

Microsoft erbjuder inte mycket information om detta. Det finns bara en enda .docx-fil - inte ens en webbsida - på Microsofts webbplats med information om den här funktionen. Du kan lära dig allt du vill om det genom att läsa dokumentet. Det förklarar Microsofts argument för att inkludera denna funktion, med hjälp av uthållig stöldprogramvara som ett exempel:

"Det primära syftet med WPBT är att tillåta kritisk programvara att fortsätta även när operativsystemet har ändrats eller installerats i en" ren "konfiguration. Ett användningsfall för WPBT är att möjliggöra stöldskyddssoftware som krävs för att kvarstå Om en enhet har stulits, formaterats och installerats igen. I det här scenariot ger WPBT-funktionaliteten möjligheten att stöldprogrammet installerar sig i operativsystemet och fortsätter att fungera som avsett. "

Detta försvar av funktionen har bara lagts till i dokumentet efter att Lenovo använt det för andra ändamål

På datorn med WPBT-programvaran läser Windows den binära data från tabellen i UEFI-firmware och kopierar den till en fil med namnet wpbbin.exe vid start.

Du kan kolla din egen dator för att se om tillverkaren har inkluderat programvara i WPBT. För att ta reda på, öppna katalogen C: Windows system32 och leta efter en fil med namnet

wpbbin.exe . Filen C: Windows system32 wpbbin.exe existerar bara om Windows kopierar den från UEFI-firmware. Om det inte finns, har din PC-tillverkare inte använt WPBT för att automatiskt köra programvara på din dator. Undvik WPBT och Other Junkware

Microsoft har satt upp några fler regler för denna funktion i kölvattnet av Lenovos oansvariga säkerhet fel. Men det är förbryllande att den här funktionen även existerar i första hand - och särskilt förvirrande om att Microsoft skulle ge det till PC-tillverkare utan några tydliga säkerhetskrav eller riktlinjer för användningen.

De reviderade riktlinjerna instruerar OEM-användare för att säkerställa att användare faktiskt kan inaktivera detta funktion om de inte vill ha det, men Microsofts riktlinjer har inte hindrat PC-tillverkare från att missbruka Windows-säkerhet tidigare. Vittnet Samsung-frakt-datorer med Windows Update inaktiverat eftersom det var lättare än att arbeta med Microsoft för att se till att de korrekta drivrutinerna fanns till Windows Update.

RELATED:

Det enda säkra stället att köpa en Windows-dator är Microsoft Store Detta är ännu ett exempel på PC-tillverkare som inte tar Windows-säkerhet på allvar. Om du planerar att köpa en ny Windows-dator rekommenderar vi att du köper en från Microsoft Store, Microsoft bryr sig egentligen om dessa datorer och ser till att de inte har skadlig programvara som Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-funktion, och all annan skräp som en vanlig dator kan komma med.

När vi skrev det tidigare gjorde många läsare att det var onödigt eftersom du alltid alltid kunde utföra en ren installation av Windows för att bli av med någon bloatware. Tja, det är uppenbart att det inte är sant - det enda surefire sättet att få en bloatwarefri Windows-dator är från Microsoft Store. Det borde inte vara så, men det är.

Det som är särskilt oroande om WPBT är inte bara Lenovos fullständiga misslyckande med att använda det för att bota säkerhetsproblem och skräppost till rena installationer av Windows. Det som är särskilt oroande är att Microsoft tillhandahåller funktioner som detta till PC-tillverkare i första hand - speciellt utan ordentliga begränsningar eller vägledning.


Det tog också flera år innan denna funktion till och med uppmärksammades bland den bredare tekniska världen, och det hände bara på grund av en otäck säkerhetsproblem. Vem vet vilka andra otäcka funktioner som bakas i Windows för att PC-tillverkare ska missbruka. PC-tillverkare drar Windows-rykte genom mucken och Microsoft behöver ta kontroll över dem.

Bildkredit: Cory M. Grenier på Flickr


Så här ser du om din VPN läcker din personliga information

Så här ser du om din VPN läcker din personliga information

Många använder Virtual Private Networks (VPN) för att maskera sin identitet, kryptera sin kommunikation eller surfa på nätet från en annan plats. Alla dessa mål kan komma ifrån varandra om din verkliga information läcker igenom ett säkerhetshål, vilket är vanligare än vad du skulle tro. Låt oss titta på hur man identifierar och korrigerar läckorna.

(how-to)

Så här startar du automatiskt din Router på Geeky Way

Så här startar du automatiskt din Router på Geeky Way

Verizon FIOS är bra - hastigheterna är otroliga, och priset är ... bra, ganska dyrt. Det verkliga problemet är att den hemska routern som de ger dig behöver omstartas hela tiden, vilket är en kunglig smärta med tanke på att den ligger i källaren. Dessutom vill jag inte gå i soffan. Så jag tänkte på hur jag kunde lösa detta problem med hjälp av teknik.

(how-to)