Crapware Zombie: Como funciona a tabela binária da plataforma Windows

Índice:

Crapware Zombie: Como funciona a tabela binária da plataforma Windows
Crapware Zombie: Como funciona a tabela binária da plataforma Windows

Vídeo: Crapware Zombie: Como funciona a tabela binária da plataforma Windows

Vídeo: Crapware Zombie: Como funciona a tabela binária da plataforma Windows
Vídeo: How to Add Dropbox to Office 2013 - YouTube 2024, Novembro
Anonim
Poucas pessoas perceberam na época, mas a Microsoft adicionou um novo recurso ao Windows 8 que permite aos fabricantes infectar o firmware UEFI com o crapware. O Windows continuará instalando e ressuscitando esse software de lixo eletrônico mesmo depois de executar uma instalação limpa.
Poucas pessoas perceberam na época, mas a Microsoft adicionou um novo recurso ao Windows 8 que permite aos fabricantes infectar o firmware UEFI com o crapware. O Windows continuará instalando e ressuscitando esse software de lixo eletrônico mesmo depois de executar uma instalação limpa.

Esse recurso continua presente no Windows 10 e é absolutamente confuso o motivo pelo qual a Microsoft daria aos fabricantes de PCs muita energia. Ele destaca a importância de comprar PCs da Microsoft Store - mesmo a execução de uma instalação limpa pode não se livrar de todo o bloatware pré-instalado.

WPBT 101

A partir do Windows 8, um fabricante de PCs pode incorporar um programa - basicamente, um arquivo.exe do Windows - no firmware UEFI do computador. Isso é armazenado na seção “Tabela Binária da Plataforma Windows” (WPBT) do firmware UEFI. Sempre que o Windows inicializa, ele analisa o firmware UEFI desse programa, copia-o do firmware para a unidade do sistema operacional e o executa. O próprio Windows não oferece nenhuma maneira de impedir que isso aconteça. Se o firmware UEFI do fabricante o oferecer, o Windows o executará sem questionar.

A LSE da Lenovo e seus furos de segurança

É impossível escrever sobre esse recurso questionável sem notar o caso que chamou a atenção do público. A Lenovo vendeu uma variedade de PCs com algo chamado “Lenovo Service Engine” (LSE) habilitado. Veja o que a Lenovo alega ser uma lista completa de PCs afetados.

Quando o programa é executado automaticamente pelo Windows 8, o Lenovo Service Engine faz o download de um programa chamado OneKey Optimizer e reporta uma certa quantidade de dados de volta à Lenovo. A Lenovo configura serviços de sistema projetados para baixar e atualizar software da Internet, tornando impossível removê-los. Eles até mesmo retornam automaticamente após uma instalação limpa do Windows.

A Lenovo foi ainda mais longe, estendendo essa técnica obscura para o Windows 7. O firmware UEFI verifica o arquivo C: Windows system32 autochk.exe e sobregrava-o com a versão da própria Lenovo. Este programa é executado na inicialização para verificar o sistema de arquivos no Windows, e esse truque permite que a Lenovo faça essa prática desagradável funcionar também no Windows 7. Isso apenas mostra que o WPBT nem sequer é necessário - os fabricantes de PCs podem ter seus firmwares sobrescrevendo arquivos de sistema do Windows.

A Microsoft e a Lenovo descobriram uma grande vulnerabilidade de segurança com isso que pode ser explorada, então a Lenovo parou, felizmente, de enviar PCs com esse lixo desagradável. A Lenovo oferece uma atualização que removerá o LSE dos notebooks e uma atualização que removerá o LSE dos desktops. No entanto, eles não são baixados e instalados automaticamente, portanto, muitos PCs da Lenovo provavelmente mais afetados continuarão tendo esse lixo eletrônico instalado em seu firmware UEFI.

Este é apenas mais um problema de segurança desagradável do fabricante do PC que nos trouxe PCs infectados com Superfish. Não está claro se outros fabricantes de PCs abusaram do WPBT de maneira semelhante em alguns de seus PCs.

Image
Image

O que a Microsoft diz sobre isso?

Como a Lenovo observa:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

Em outras palavras, o recurso Lenovo LSE que usa o WPBT para fazer o download de lixo eletrônico da Internet foi permitido pelo design e pelas diretrizes originais da Microsoft para o recurso WPBT. As diretrizes só agora foram refinadas.

A Microsoft não oferece muitas informações sobre isso. Há apenas um único arquivo.docx - nem mesmo uma página da web - no site da Microsoft com informações sobre esse recurso. Você pode aprender tudo o que quiser lendo o documento. Explica o raciocínio da Microsoft para incluir esse recurso, usando um software anti-furto persistente como exemplo:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration. One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

Essa defesa do recurso só foi adicionada ao documento depois que a Lenovo o usou para outros fins.

O seu PC inclui software WPBT?

Nos PCs que usam o WPBT, o Windows lê os dados binários da tabela no firmware UEFI e os copia para um arquivo chamado wpbbin.exe na inicialização.

Você pode verificar seu próprio PC para ver se o fabricante incluiu software no WPBT. Para descobrir, abra o diretório C: Windows system32 e procure por um arquivo chamado wpbbin.exe. O arquivo C: Windows system32 wpbbin.exe existe somente se o Windows copiá-lo do firmware UEFI. Se não estiver presente, o fabricante do seu PC não usou o WPBT para executar automaticamente o software no seu PC.

Image
Image

Evitando o WPBT e outros junkwares

A Microsoft criou mais algumas regras para esse recurso após a falha de segurança irresponsável da Lenovo. Mas é desconcertante que esse recurso exista em primeiro lugar - e especialmente desconcertante que a Microsoft forneceria aos fabricantes de PCs sem quaisquer requisitos de segurança claros ou diretrizes sobre seu uso.

As diretrizes revisadas instruem os OEMs a garantir que os usuários possam realmente desativar esse recurso, se não quiserem, mas as diretrizes da Microsoft não impediram os fabricantes de PC de abusarem da segurança do Windows no passado. Testemunho Os PCs de envio da Samsung com o Windows Update foram desativados porque isso era mais fácil do que trabalhar com a Microsoft para garantir que os drivers apropriados fossem adicionados ao Windows Update.

Este é mais um exemplo de fabricantes de PCs que não levam a sério a segurança do Windows.Se você está pensando em adquirir um novo PC com Windows, recomendamos que compre um na Microsoft Store, a Microsoft realmente se preocupa com esses PCs e garante que eles não possuam softwares prejudiciais como o Superfish da Lenovo, o Disable_WindowsUpdate.exe da Samsung, o recurso LSE da Lenovo, e todo o outro lixo que um típico PC pode vir.

Quando escrevemos isso no passado, muitos leitores responderam que isso era desnecessário, porque você sempre poderia simplesmente executar uma instalação limpa do Windows para se livrar de qualquer bloatware. Bem, aparentemente isso não é verdade - a única maneira infalível de obter um PC Windows livre de bloatware é da Microsoft Store. Não deveria ser assim, mas é.

O que é particularmente preocupante sobre o WPBT não é apenas o fracasso total da Lenovo em usá-lo para transformar vulnerabilidades de segurança e junkware em instalações limpas do Windows. O que é especialmente preocupante é que a Microsoft forneça recursos como esse para os fabricantes de PC - especialmente sem limitações ou orientações adequadas.

Também levou vários anos até que esse recurso se tornasse notado no mundo da tecnologia mais ampla, e isso só aconteceu devido a uma vulnerabilidade de segurança desagradável. Quem sabe quais outros recursos desagradáveis são introduzidos no Windows para os fabricantes de PC abusarem. Os fabricantes de PCs estão arrastando a reputação do Windows pela sujeira e a Microsoft precisa controlá-los.

Recomendado: