de.phhsnews.com


de.phhsnews.com / Zombie Crapware: Wie funktioniert die Windows Platform-Binär-Tabelle

Zombie Crapware: Wie funktioniert die Windows Platform-Binär-Tabelle


Wenige Leute haben zu der Zeit bemerkt, aber Microsoft hat Windows 8 eine neue Funktion hinzugefügt, die es Herstellern ermöglicht, die UEFI-Firmware mit Crapware zu infizieren. Windows wird weiterhin diese Junk-Software installieren und wiederbeleben, selbst nachdem Sie eine Neuinstallation durchgeführt haben.

Diese Funktion ist unter Windows 10 weiterhin vorhanden und es ist absolut verwunderlich, warum Microsoft den PC-Herstellern so viel Macht geben würde. Es unterstreicht, wie wichtig es ist, PCs aus dem Microsoft Store zu kaufen - selbst eine Neuinstallation kann nicht alle vorinstallierten Bloatware entfernen.

WPBT 101

Ab Windows 8 kann ein PC-Hersteller ein Programm einbetten - ein Windows .exe-Datei, im Wesentlichen - in der UEFI-Firmware des PCs. Dies wird im Abschnitt "Windows Platform Binary Table" (WPBT) der UEFI-Firmware gespeichert. Wenn Windows startet, schaut es sich die UEFI-Firmware für dieses Programm an, kopiert es von der Firmware auf das Betriebssystemlaufwerk und führt es aus. Windows selbst bietet keine Möglichkeit, dies zu verhindern. Wenn die UEFI-Firmware des Herstellers es anbietet, führt Windows es ohne Frage aus.

Lenovo's LSE und seine Sicherheitslöcher

VERWANDT: Wie Computerhersteller bezahlt werden, um Ihren Laptop schlechter zu machen

Es ist unmöglich zu schreiben über dieses fragwürdige Merkmal, ohne den Fall zu beachten, der es in die öffentliche Aufmerksamkeit brachte. Lenovo hat eine Vielzahl von PCs mit der so genannten "Lenovo Service Engine" (LSE) ausgeliefert. Lenovo behauptet, dass es sich um eine vollständige Liste der betroffenen PCs handelt.

Wenn das Programm automatisch von Windows 8 ausgeführt wird, lädt die Lenovo Service Engine ein Programm namens OneKey Optimizer herunter und meldet einige Daten an Lenovo zurück. Lenovo richtet Systemdienste ein, die darauf ausgelegt sind, Software aus dem Internet herunterzuladen und zu aktualisieren, sodass sie nicht entfernt werden können - sie werden nach einer Neuinstallation von Windows sogar automatisch zurückkommen.

Lenovo ging noch weiter und erweiterte diese zwielichtige Technik auf Windows 7. Die UEFI-Firmware überprüft die Datei C: Windows system32 autochk.exe und überschreibt sie mit der Lenovo-eigenen Version. Dieses Programm wird beim Booten ausgeführt, um das Dateisystem unter Windows zu überprüfen, und dieser Trick ermöglicht es Lenovo, diese scheußliche Übung auch unter Windows 7 zu verwenden. Es zeigt nur, dass das WPBT nicht einmal notwendig ist - PC-Hersteller könnten einfach ihre Firmwares Windows-Systemdateien überschreiben lassen.

Microsoft und Lenovo haben eine große Sicherheitslücke entdeckt, die ausgenutzt werden kann, also hat Lenovo glücklicherweise den Versand eingestellt PCs mit diesem fiesen Müll. Lenovo bietet ein Update an, das LSE von Notebook-PCs entfernt und ein Update, das LSE von Desktop-PCs entfernt. Diese werden jedoch nicht automatisch heruntergeladen und installiert, so dass viele - wahrscheinlich am meisten betroffene - Lenovo PCs weiterhin diesen Junk in ihrer UEFI-Firmware installiert haben.

Dies ist nur ein weiteres ekliges Sicherheitsproblem vom PC-Hersteller, das uns PCs brachte mit Superfish infiziert. Es ist unklar, ob andere PC-Hersteller das WPBT auf einigen PCs in ähnlicher Weise missbraucht haben.

Was sagt Microsoft dazu?

Wie Lenovo bemerkt:

"Microsoft hat kürzlich aktualisierte Sicherheitsrichtlinien veröffentlicht um diese Funktion am besten zu implementieren. Die Verwendung von LSE durch Lenovo stimmt nicht mit diesen Richtlinien überein. Daher hat Lenovo die Auslieferung von Desktopmodellen mit diesem Dienstprogramm eingestellt und empfiehlt Kunden, bei denen dieses Dienstprogramm aktiviert ist, ein "Bereinigungsdienstprogramm" auszuführen, das die LSE-Dateien vom Desktop entfernt. "

In anderen Die Lenovo LSE-Funktion, die WPBT zum Herunterladen von Junkware aus dem Internet verwendet, wurde gemäß dem ursprünglichen Design und den Richtlinien von Microsoft für die WPBT-Funktion zugelassen. Die Richtlinien wurden erst jetzt verfeinert.

Microsoft bietet dazu nicht viele Informationen. Es gibt nur eine einzige .docx-Datei - nicht einmal eine Webseite - auf der Microsoft-Website mit Informationen zu dieser Funktion. Sie können alles darüber lernen, indem Sie das Dokument lesen. Es erklärt Microsoft Gründe für die Aufnahme dieser Funktion am Beispiel einer dauerhaften Anti-Diebstahl-Software:

"Der Hauptzweck von WPBT besteht darin, kritische Software zu erhalten, selbst wenn das Betriebssystem in einer" sauberen "Konfiguration geändert oder neu installiert wurde. Ein Anwendungsfall für WPBT ist die Aktivierung von Anti-Diebstahl-Software, die dauerhaft sein muss falls ein Gerät gestohlen, formatiert und neu installiert wurde. In diesem Szenario bietet die WPBT-Funktionalität die Möglichkeit, dass sich die Anti-Diebstahl-Software wieder im Betriebssystem installiert und weiterhin wie vorgesehen funktioniert. "

Dieser Schutz der Funktion wurde dem Dokument nur hinzugefügt, nachdem Lenovo es für andere Zwecke verwendet hat .

Enthält Ihr PC WPBT-Software?

Windows liest auf den PCs, die WPBT verwenden, die Binärdaten aus der Tabelle in der UEFI-Firmware und kopiert sie beim Booten in eine Datei mit dem Namen wpbbin.exe.

Sie können Überprüfen Sie Ihren eigenen PC, um festzustellen, ob der Hersteller Software in das WPBT aufgenommen hat. Um das herauszufinden, öffnen Sie das Verzeichnis C: Windows system32 und suchen Sie nach einer Datei mit dem Namen wpbbin.exe . Die Datei C: Windows system32 wpbbin.exe ist nur vorhanden, wenn Windows sie von der UEFI-Firmware kopiert. Wenn es nicht vorhanden ist, hat Ihr PC-Hersteller WPBT nicht zum automatischen Ausführen von Software auf Ihrem PC verwendet.

Vermeiden von WPBT und anderer Junkware

Microsoft hat nach der unverantwortlichen Sicherheit von Lenovo einige weitere Regeln für diese Funktion eingerichtet Fehler. Aber es ist verblüffend, dass diese Funktion überhaupt existiert - und besonders verwirrend, dass Microsoft PC-Herstellern diese ohne klare Sicherheitsanforderungen oder Richtlinien zur Verfügung stellen würde.

Die überarbeiteten Richtlinien weisen OEMs an, sicherzustellen, dass Benutzer dies tatsächlich deaktivieren können Feature, wenn sie es nicht wollen, aber die Richtlinien von Microsoft haben PC-Hersteller nicht davon abgehalten, Windows-Sicherheit in der Vergangenheit zu missbrauchen. Zeuge Samsung Versand PCs mit Windows Update deaktiviert, weil das war einfacher als die Arbeit mit Microsoft, um sicherzustellen, die richtigen Treiber wurden zu Windows Update hinzugefügt.

RELATED: Der einzige sichere Ort, um einen Windows PC zu kaufen ist der Microsoft Store

Dies ist ein weiteres Beispiel für PC-Hersteller, die Windows-Sicherheit nicht ernst nehmen. Wenn Sie einen neuen Windows-PC kaufen möchten, empfehlen wir Ihnen, einen im Microsoft Store zu kaufen. Microsoft kümmert sich wirklich um diese PCs und stellt sicher, dass sie keine schädliche Software wie Lenovo's Superfish, Disable_WindowsUpdate.exe von Samsung, Lenovo's LSE-Funktion, und all den anderen Junk, mit dem ein typischer PC zu tun hat.

Als wir dies in der Vergangenheit geschrieben haben, haben viele Leser geantwortet, dass dies unnötig sei, da man immer nur eine Neuinstallation von Windows durchführen könne, um Bloatware zu entfernen. Nun, anscheinend stimmt das nicht - der einzige todsichere Weg, einen Bloatware-freien Windows-PC zu bekommen, stammt aus dem Microsoft Store. Es sollte nicht so sein, aber es ist.


Was am WPBT besonders beunruhigend ist, ist nicht nur das völlige Versagen von Lenovo bei der Verwendung von Sicherheitslücken und Junkware bei Neuinstallationen von Windows. Besonders besorgniserregend ist, dass Microsoft PC-Herstellern in erster Linie Funktionen wie diese zur Verfügung stellt - vor allem ohne entsprechende Einschränkungen oder Richtlinien.

Es hat auch einige Jahre gedauert, bis dieses Feature in der breiteren Techwelt Beachtung fand eine unangenehme Sicherheitslücke. Wer weiß, welche anderen fiesen Funktionen in Windows eingebaut sind, damit PC-Hersteller sie missbrauchen können? PC-Hersteller ziehen die Reputation von Windows durch den Dreck und Microsoft muss sie unter Kontrolle bringen.

Bildquelle: Cory M. Grenier auf Flickr


So wählen Sie einen USB-WLAN-Adapter für Ihren Laptop aus

So wählen Sie einen USB-WLAN-Adapter für Ihren Laptop aus

Wenn Sie in den letzten fünf Jahren einen Laptop gekauft haben, ist wahrscheinlich bereits eine ordentliche Wi-Fi-Karte installiert. Aber wenn Sie eine schäbige Verbindung erlebt haben, zu lange auf Netflix gewartet haben oder den letzten Feuerball wegen Verzögerung vergessen haben, dann ist es vielleicht an der Zeit, einen externen USB-WLAN-Adapter hinzuzufügen.

(how-to)

Was ist eine .CRDOWNLOAD-Datei und können Sie sie löschen?

Was ist eine .CRDOWNLOAD-Datei und können Sie sie löschen?

Wenn Sie Google Chrome verwenden, besteht die Wahrscheinlichkeit, dass Sie Dateien mit der Erweiterung ".crdownload" in Ihrem Downloads-Verzeichnis gefunden haben . Google Chrome erstellt jedes Mal eine neue Datei, wenn Sie mit dem Herunterladen beginnen. Diese .crdownload-Dateien werden automatisch umbenannt, wenn ein Download erfolgreich abgeschlossen wurde.

(how-to)