Startpagina » hoe » Zombie Crapware Hoe de Windows-platform-binaire tabel werkt

    Zombie Crapware Hoe de Windows-platform-binaire tabel werkt

    Weinig mensen merkten op dat moment, maar Microsoft heeft een nieuwe functie toegevoegd aan Windows 8 waarmee fabrikanten de UEFI-firmware kunnen infecteren met crapware. Windows zal doorgaan met het installeren en opnieuw genereren van deze ongewenste software, zelfs nadat u een schone installatie hebt uitgevoerd.

    Deze functie blijft aanwezig op Windows 10 en het is absoluut raadselachtig waarom Microsoft pc-fabrikanten zoveel stroom zou geven. Het benadrukt het belang van het kopen van pc's in de Microsoft Store - zelfs als een schone installatie wordt uitgevoerd, wordt mogelijk niet alle vooraf geïnstalleerde bloatware verwijderd.

    WPBT 101

    Vanaf Windows 8 kan een pc-fabrikant een programma - een Windows .exe-bestand, in essentie - insluiten in de UEFI-firmware van de pc. Dit wordt opgeslagen in de sectie "Windows Platform Binary Table" (WPBT) van de UEFI-firmware. Wanneer Windows opstart, kijkt het naar de UEFI-firmware voor dit programma, kopieert het van de firmware naar de schijf van het besturingssysteem en voert het uit. Windows zelf biedt geen manier om dit te voorkomen. Als de UEFI-firmware van de fabrikant dit aanbiedt, zal Windows het zonder vragen uitvoeren.

    Lenovo's LSE en de beveiligingsgaten

    Het is onmogelijk om over deze dubieuze functie te schrijven zonder de zaak te vermelden die hem onder de aandacht bracht. Lenovo heeft verschillende pc's geleverd met zoiets als de "Lenovo Service Engine" (LSE) ingeschakeld. Hier is wat Lenovo beweert, een complete lijst met getroffen pc's.

    Wanneer het programma automatisch wordt uitgevoerd door Windows 8, downloadt de Lenovo Service Engine een programma met de naam OneKey Optimizer en rapporteert een bepaalde hoeveelheid gegevens terug naar Lenovo. Lenovo stelt systeemservices in die zijn ontworpen om software van internet te downloaden en bij te werken, waardoor het onmogelijk wordt om ze te verwijderen - ze komen zelfs automatisch terug na een schone installatie van Windows.

    Lenovo ging nog verder en breidde deze schaduwtechniek uit naar Windows 7. De UEFI-firmware controleert het bestand C: \ Windows \ system32 \ autochk.exe en overschrijft het met de eigen versie van Lenovo. Dit programma wordt tijdens het opstarten uitgevoerd om het bestandssysteem op Windows te controleren. Met deze truc kan Lenovo deze vervelende praktijk ook op Windows 7 laten werken. Het laat alleen maar zien dat de WPBT niet eens nodig is - pc-fabrikanten kunnen hun firmware alleen Windows-systeembestanden laten overschrijven.

    Microsoft en Lenovo ontdekten hiermee een groot beveiligingslek dat kan worden uitgebuit, dus Lenovo is gelukkig gestopt met het verzenden van pc's met deze vervelende rommel. Lenovo biedt een update die LSE van notebook pc's zal verwijderen en een update die LSE van desktop pc's zal verwijderen. Deze worden echter niet automatisch gedownload en geïnstalleerd, dus veel - waarschijnlijk de meeste - getroffen Lenovo pc's zullen deze rommel blijven installeren in hun UEFI-firmware.

    Dit is gewoon een ander lastig beveiligingsprobleem van de pc-fabrikant die ons PC's geïnfecteerd met Superfish heeft gebracht. Het is onduidelijk of andere pc-fabrikanten de WPBT op een vergelijkbare manier hebben misbruikt op sommige van hun pc's.

    Wat zegt Microsoft hierover??

    Zoals Lenovo opmerkt:

    "Microsoft heeft onlangs bijgewerkte beveiligingsrichtlijnen gepubliceerd over hoe deze functie het beste kan worden geïmplementeerd. Het gebruik van LSE door Lenovo is niet consistent met deze richtlijnen en daarom is Lenovo gestopt met het verzenden van desktopmodellen met dit hulpprogramma en raadt klanten met dit hulpprogramma een hulpprogramma voor opschonen uit dat de LSE-bestanden van het bureaublad verwijdert. "

    Met andere woorden, de Lenovo LSE-functie die de WPBT gebruikt om junkware van internet te downloaden, was toegestaan ​​volgens het oorspronkelijke ontwerp en richtlijnen van Microsoft voor de WPBT-functie. De richtlijnen zijn nu pas verfijnd.

    Microsoft biedt hierover niet veel informatie. Er is slechts één .docx-bestand - zelfs geen webpagina - op de website van Microsoft met informatie over deze functie. Je kunt er alles over leren door het document te lezen. Dit verklaart de redenering van Microsoft om deze functie op te nemen, met behulp van permanente antidiefstalsoftware als voorbeeld:

    "Het primaire doel van WPBT is om kritische software te laten doorgaan, zelfs wanneer het besturingssysteem is gewijzigd of opnieuw is geïnstalleerd in een" schone "configuratie. Eén gebruik van WPBT is het inschakelen van antidiefstalsoftware die moet worden voortgezet in het geval een apparaat is gestolen, geformatteerd en opnieuw is geïnstalleerd. In dit scenario biedt de WPBT-functionaliteit de mogelijkheid voor de antidiefstal-software om zichzelf opnieuw in het besturingssysteem te installeren en te blijven werken zoals bedoeld. "

    Deze verdediging van de functie is alleen aan het document toegevoegd nadat Lenovo het voor andere doeleinden had gebruikt.

    Bevat uw pc WPBT-software?

    Op pc's die de WPBT gebruiken, leest Windows de binaire gegevens uit de tabel in de UEFI-firmware en kopieert deze tijdens het opstarten naar een bestand met de naam wpbbin.exe.

    U kunt uw eigen pc controleren om te zien of de fabrikant software in de WPBT heeft opgenomen. Open hiervoor de map C: \ Windows \ system32 en zoek naar een bestand met de naam wpbbin.exe. Het bestand C: \ Windows \ system32 \ wpbbin.exe bestaat alleen als Windows het kopieert van de UEFI-firmware. Als het niet aanwezig is, heeft uw pc-fabrikant WPBT niet gebruikt om automatisch software op uw pc uit te voeren.

    WPBT en andere Junkware vermijden

    Microsoft heeft nog enkele regels opgesteld voor deze functie in het kielzog van de onverantwoordelijke beveiligingsstoring van Lenovo. Maar het is verbijsterend dat deze functie zelfs in de eerste plaats bestaat - en vooral verbijsterend dat Microsoft deze zou verschaffen aan pc-fabrikanten zonder duidelijke beveiligingsvereisten of richtlijnen voor het gebruik ervan.

    Volgens de herziene richtlijnen moeten OEM's ervoor zorgen dat gebruikers deze functie daadwerkelijk kunnen uitschakelen als ze dat niet willen, maar de richtlijnen van Microsoft hebben pc-fabrikanten in het verleden niet belet misbruik te maken van Windows-beveiliging. Wees getuige van het verzenden van pc's van Samsung waarop Windows Update was uitgeschakeld omdat dat eenvoudiger was dan met Microsoft werken om ervoor te zorgen dat de juiste stuurprogramma's werden toegevoegd aan Windows Update.

    Dit is nog een ander voorbeeld van pc-fabrikanten die Windows-beveiliging niet serieus nemen. Als u van plan bent een nieuwe Windows-pc aan te schaffen, raden we u aan er een te kopen in de Microsoft Store, Microsoft geeft echt om deze pc's en zorgt ervoor dat ze geen schadelijke software hebben zoals Lenovo's Superfish, Samsung's Disable_WindowsUpdate.exe, LSE-functie van Lenovo, en alle andere rommel die een standaard pc kan bevatten.

    Toen we dit in het verleden schreven, antwoordden veel lezers dat dit niet nodig was omdat je altijd gewoon een schone installatie van Windows kon uitvoeren om bloatware kwijt te raken. Nou, blijkbaar is dat niet waar - de enige onfeilbare manier om een ​​bloatware-vrije Windows-pc te krijgen is van de Microsoft Store. Het zou niet zo moeten zijn, maar dat is het wel.

    Wat is er vooral zorgwekkend over de WPBT is niet alleen de volledige mislukking van Lenovo in het gebruik ervan om beveiligingskwetsbaarheden en junkware te bakken in schone installaties van Windows. Wat vooral zorgwekkend is, is dat Microsoft in de eerste plaats functies als deze aan pc-fabrikanten biedt, vooral zonder de juiste beperkingen of richtlijnen.

    Het duurde ook enkele jaren voordat deze functie zelfs werd opgemerkt in de bredere techwereld, en dat gebeurde alleen vanwege een vervelende beveiligingslek. Wie weet welke andere vervelende functies in Windows worden gebrand om pc-fabrikanten te misbruiken. Pc-fabrikanten slepen de reputatie van Windows via de rommel en Microsoft moet ze onder controle krijgen.

    Beeldcredits: Cory M. Grenier op Flickr

    Zoom, Enhance kan een realiteit worden, dankzij Google
    Zoom in op e-mails in Outlook 2007
    ZigBee versus Z-Wave Kiezen tussen twee grote Smarthome-normen
    Volgend artikel
    Zondicons - Premium SVG-pictogrammen die gratis is
    Vorig artikel
    ZOHO Vervolg