Zombie Crapware Kako Windows platforma Binarni radi
Malo je ljudi u to vrijeme primijetilo, ali Microsoft je dodao novu značajku u sustav Windows 8 koja omogućuje proizvođačima da zaraze upravljački softver UEFI pomoću softvera crapware. Windows će nastaviti instalirati i ponovno oživjeti ovaj junk softver čak i nakon čiste instalacije.
Ova značajka i dalje je prisutna u sustavu Windows 10 i apsolutno je zagonetno zašto bi Microsoft proizvođačima računala dala toliko snage. Naglašava važnost kupnje računala iz Microsoftove trgovine - čak ni čista instalacija možda se neće riješiti svih unaprijed instaliranih bloatera.
WPBT 101
Počevši sa sustavom Windows 8, proizvođač računala može ugraditi program - datoteku Windows .exe, u suštini - u upravljački softver UEFI-ja računala. To je pohranjeno u odjeljku "Windows Binary Table" (Windows binarna tablica) (WPBT) na UEFI firmveru. Kad god se Windows pokrene, on gleda UEFI firmware za ovaj program, kopira ga iz firmware-a u pogon operativnog sustava i pokreće ga. Sama Windows ne nudi nikakav način da se to spriječi. Ako UEFI-jev proizvođač to nudi, Windows će ga pokrenuti bez pitanja.
Lenovo LSE i njegove sigurnosne rupe
Nemoguće je pisati o toj sumnjivoj značajki bez primijećivanja slučaja koji ga je skrenuo pažnju javnosti. Lenovo je isporučio mnoštvo računala s omogućenom značajkom „Lenovo Service Engine“ (LSE). Evo što Lenovo tvrdi da je potpuni popis pogođenih računala.
Kada program Windows 8 automatski pokrene program, Lenovo servisni pogon preuzima program pod nazivom OneKey Optimizer i izvještava Lenovo o određenoj količini podataka. Lenovo postavlja sistemske usluge dizajnirane za preuzimanje i ažuriranje softvera s Interneta, što onemogućuje njihovo uklanjanje - čak se i automatski vraćaju nakon čiste instalacije sustava Windows.
Lenovo je otišao još dalje, proširujući ovu sjenovitu tehniku na Windows 7. UEFI firmware provjerava datoteku autochk.exe u sustavu C: Windows 32 i prepisuje je s vlastitom verzijom tvrtke Lenovo. Ovaj program radi pri dizanju kako bi provjerio datotečni sustav u sustavu Windows, a taj trik omogućuje tvrtki Lenovo da napravi i ovu gadnu praksu na Windows 7. To samo pokazuje da WPBT nije ni potreban - proizvođači osobnih računala mogu jednostavno prebrisati svoje sistemske datoteke..
Microsoft i Lenovo otkrili su veliku sigurnosnu ranjivost s tim što se može iskoristiti, pa je Lenovo na sreću prestao isporučivati računala s ovom gadnom smećom. Lenovo nudi nadogradnju koja će ukloniti LSE s prijenosnih računala i nadogradnju koja će ukloniti LSE s stolnih računala. Međutim, oni se ne preuzimaju i ne instaliraju automatski, tako da će mnoga - vjerojatno većina - pogođena Lenovo računala i dalje imati instaliran ovaj junk u UEFI firmveru.
Ovo je samo još jedan gadan sigurnosni problem proizvođača računala koji nam je donio računala zaražena Superfishom. Nije jasno jesu li drugi proizvođači računala na sličan način zlorabili WPBT na nekim svojim računalima.
Što Microsoft govori o tome?
Kao što Lenovo napominje:
“Microsoft je nedavno objavio ažurirane sigurnosne smjernice o tome kako najbolje implementirati ovu značajku. Korištenje LSE-a od strane tvrtke Lenovo nije u skladu s ovim smjernicama, pa je Lenovo prestao isporučivati stolne modele s ovim uslužnim programom i preporučuje korisnicima s ovim uslužnim programom pokretanje uslužnog programa "clean up" koji uklanja LSE datoteke s radne površine. "
Drugim riječima, značajka Lenovo LSE koja koristi WPBT za preuzimanje junkwarea s Interneta bila je dopuštena pod Microsoftovim originalnim dizajnom i smjernicama za WPBT značajku. Smjernice su tek sada poboljšane.
Microsoft o tome ne nudi mnogo informacija. Postoji samo jedna .docx datoteka - čak ni web-stranica - na Microsoftovu web-mjestu s informacijama o ovoj značajki. Možete saznati sve što želite o tome čitanjem dokumenta. Objašnjava Microsoftovo obrazloženje za uključivanje ove značajke, koristeći primjerice trajni softver za zaštitu od krađe:
“Primarna svrha WPBT-a je omogućiti da kritički softver ostane prisutan čak i kada se operativni sustav promijenio ili ponovno instalirao u“ čistoj ”konfiguraciji. Jedan slučaj upotrebe za WPBT je omogućavanje softvera za zaštitu od krađe koji je potreban da bi ostao u slučaju da je uređaj ukraden, formatiran i ponovno instaliran. U ovom scenariju funkcionalnost WPBT-a pruža mogućnost softveru protiv krađe da se ponovo instalira u operacijski sustav i nastavi raditi kako je planirano. "
Ova obrana značajke dodana je u dokument tek nakon što ju je Lenovo upotrijebio u druge svrhe.
Uključuje li vaše računalo WPBT softver?
Na osobnim računalima koja koriste WPBT, Windows čita binarne podatke iz tablice u UEFI firmware-u i kopira ih u datoteku wpbbin.exe pri pokretanju sustava..
Možete provjeriti svoje računalo da biste vidjeli je li proizvođač uključio softver u WPBT. Da biste saznali, otvorite direktorij C: Windows 32 i potražite datoteku pod nazivom wpbbin.exe. Datoteka C: Windows system32 wpbbin.exe postoji samo ako je Windows kopira s UEFI firmvera. Ako nije prisutan, proizvođač računala nije koristio WPBT za automatsko pokretanje softvera na računalu.
Izbjegavanje WPBT-a i ostalih bezvrijednih programa
Microsoft je postavio nekoliko pravila za ovu značajku u svjetlu neodgovornog sigurnosnog kvara tvrtke Lenovo. Ali to je zbunjujuće da ova značajka uopće postoji - a posebno je zbunjujuće da će je Microsoft pružiti proizvođačima računala bez jasnih sigurnosnih zahtjeva ili smjernica za njegovu upotrebu.
Revidirane smjernice nalažu OEM-ovima da osiguraju da korisnici zapravo mogu onemogućiti tu značajku ako to ne žele, ali Microsoftove smjernice nisu spriječile proizvođače osobnih računala da u prošlosti zloupotrebljavaju sigurnost sustava Windows. Svjedočite Samsung-ovim isporukama računala s onemogućenim značajkama Windows Update jer je to bilo lakše nego raditi s Microsoftom kako bi se osiguralo da su odgovarajući upravljački programi dodani u Windows Update.
Ovo je još jedan primjer proizvođača računala koji ne uzimaju ozbiljno sigurnost sustava Windows. Ako planirate kupnju novog Windows računala, preporučujemo vam da ga kupite iz Microsoftove trgovine, Microsoft zapravo brine o tim računalima i osigurava da nemaju štetan softver kao što je Lenovo Superfish, Samsungov Disable_WindowsUpdate.exe, Lenovo LSE značajka, i sve ostale bezvrijedne osobine koje bi tipično računalo moglo doći.
Kada smo to pisali u prošlosti, mnogi su čitatelji odgovorili da je to nepotrebno jer uvijek možete jednostavno provesti čistu instalaciju sustava Windows da biste se riješili bilo kakvog bloatware-a. Pa, očito to nije istina - jedini siguran način za dobivanje Windows računala bez virusa je iz Microsoftove trgovine. Ne bi trebalo biti ovako, ali jest.
Ono što je posebno zabrinjavajuće kod WPBT-a nije samo potpuni neuspjeh tvrtke Lenovo da koristi sigurnosne propuste i junkware u čiste instalacije sustava Windows. Ono što je posebno zabrinjavajuće je to što Microsoft nudi takve značajke proizvođačima računala na prvom mjestu - pogotovo bez odgovarajućih ograničenja ili smjernica.
Također je trebalo nekoliko godina prije nego što je ova značajka postala primijećena u širem svijetu tehnologije, a to se dogodilo samo zbog gadne sigurnosne ranjivosti. Tko zna kakve druge neugodne značajke ispisuju u Windows da bi proizvođači računala mogli zloupotrebljavati. Proizvođači računala povlače reputaciju sustava Windows kroz blazu i Microsoft ih treba kontrolirati.
Zasluge za sliku: Cory M. Grenier na Flickru