Zombie Crapware: So funktioniert die Binärtabelle der Windows-Plattform

Zombie Crapware: So funktioniert die Binärtabelle der Windows-Plattform

Zombie Crapware How Windows Platform Binary Table Works

Nur wenige Leute haben es damals bemerkt, aber Microsoft hat Windows 8 eine neue Funktion hinzugefügt, die es Herstellern ermöglicht, die UEFI-Firmware mit zu infizieren Mistware . Windows wird diese Junk-Software auch nach einer Neuinstallation weiter installieren und wiederbeleben.



Diese Funktion ist weiterhin unter Windows 10 vorhanden, und es ist absolut rätselhaft, warum Microsoft PC-Herstellern so viel Macht geben würde. Es unterstreicht die Bedeutung des Kaufs von PCs aus dem Microsoft Store – selbst durch eine saubere Installation wird möglicherweise nicht die gesamte vorinstallierte Bloatware entfernt.

WPBT 101

Ab Windows 8 kann ein PC-Hersteller ein Programm – im Wesentlichen eine Windows .exe-Datei – in die PCs einbetten UEFI-Firmware . Dies wird im Abschnitt Windows Platform Binary Table (WPBT) der UEFI-Firmware gespeichert. Wenn Windows bootet, sucht es nach der UEFI-Firmware für dieses Programm, kopiert es von der Firmware auf das Betriebssystemlaufwerk und führt es aus. Windows selbst bietet keine Möglichkeit, dies zu verhindern. Wenn die UEFI-Firmware des Herstellers es anbietet, wird Windows es ohne Frage ausführen.

Lenovos LSE und seine Sicherheitslücken

VERBUNDEN: Wie Computerhersteller dafür bezahlt werden, Ihren Laptop zu verschlechtern

iPhone Audio aus Video entfernen

Es ist unmöglich, über dieses fragwürdige Feature zu schreiben, ohne es zu bemerken der Fall, der es an die Öffentlichkeit brachte . Lenovo hat eine Vielzahl von PCs mit aktivierter Lenovo Service Engine (LSE) ausgeliefert. Hier ist, was Lenovo behauptet eine vollständige Liste der betroffenen PCs .

Wenn das Programm automatisch von Windows 8 ausgeführt wird, lädt die Lenovo Service Engine ein Programm namens OneKey Optimizer herunter und meldet eine gewisse Datenmenge an Lenovo zurück. Lenovo richtet Systemdienste ein, die zum Herunterladen und Aktualisieren von Software aus dem Internet dienen, sodass sie nicht entfernt werden können – sie kommen sogar automatisch zurück, nachdem eine saubere Installation von Windows .

Anzeige

Lenovo ging noch weiter und erweiterte diese zwielichtige Technik auf Windows 7. Die UEFI-Firmware überprüft die Datei C:Windowssystem32autochk.exe und überschreibt sie mit Lenovos eigener Version. Dieses Programm wird beim Booten ausgeführt, um das Dateisystem unter Windows zu überprüfen, und dieser Trick ermöglicht es Lenovo, diese unangenehme Übung auch unter Windows 7 zum Laufen zu bringen. Es zeigt nur, dass das WPBT nicht einmal notwendig ist – PC-Hersteller könnten einfach ihre Firmwares Windows-Systemdateien überschreiben lassen.

Microsoft und Lenovo haben dabei eine große Sicherheitslücke entdeckt, die ausgenutzt werden kann, daher hat Lenovo die Auslieferung von PCs mit diesem fiesen Schrott glücklicherweise eingestellt. Lenovo bietet ein Update, das LSE von Notebook-PCs entfernt und ein Update, das LSE von Desktop-PCs entfernt . Diese werden jedoch nicht automatisch heruntergeladen und installiert, sodass viele – wahrscheinlich die meisten – betroffenen Lenovo-PCs diesen Müll weiterhin in ihrer UEFI-Firmware installiert haben.

Dies ist nur ein weiteres böses Sicherheitsproblem des PC-Herstellers, das uns gebracht hat Mit Superfish infizierte PCs . Es ist unklar, ob andere PC-Hersteller das WPBT auf einigen ihrer PCs in ähnlicher Weise missbraucht haben.

macbook lässt sich nicht einschalten

Was sagt Microsoft dazu?

Wie Lenovo feststellt:

Microsoft hat kürzlich aktualisierte Sicherheitsrichtlinien zur optimalen Implementierung dieser Funktion veröffentlicht. Die Verwendung von LSE durch Lenovo entspricht nicht diesen Richtlinien. Daher hat Lenovo die Auslieferung von Desktop-Modellen mit diesem Dienstprogramm eingestellt und empfiehlt Kunden mit aktiviertem Dienstprogramm, ein Bereinigungsdienstprogramm auszuführen, das die LSE-Dateien vom Desktop entfernt.

Mit anderen Worten, die Lenovo LSE-Funktion, die WPBT verwendet, um Junkware aus dem Internet herunterzuladen, war nach dem ursprünglichen Design und den Richtlinien von Microsoft für die WPBT-Funktion zulässig. Die Leitlinien wurden erst jetzt verfeinert.

Microsoft bietet dazu nicht viele Informationen. Es gibt nur eine einzelne .docx-Datei – nicht einmal eine Webseite – auf der Microsoft-Website mit Informationen zu dieser Funktion. Sie können alles darüber erfahren, was Sie wollen, indem Sie das Dokument lesen. Es erklärt die Gründe von Microsoft für die Aufnahme dieser Funktion am Beispiel einer persistenten Anti-Diebstahl-Software:

Der Hauptzweck von WPBT besteht darin, dass kritische Software auch dann erhalten bleibt, wenn das Betriebssystem geändert oder in einer sauberen Konfiguration neu installiert wurde. Ein Anwendungsfall für WPBT besteht darin, Anti-Diebstahl-Software zu aktivieren, die für den Fall benötigt wird, dass ein Gerät gestohlen, formatiert und neu installiert wurde. In diesem Szenario bietet die WPBT-Funktionalität der Anti-Diebstahl-Software die Möglichkeit, sich selbst im Betriebssystem neu zu installieren und wie beabsichtigt weiterzuarbeiten.

Diese Verteidigung der Funktion wurde dem Dokument erst hinzugefügt, nachdem Lenovo sie für andere Zwecke verwendet hatte.

Enthält Ihr PC WPBT-Software?

Auf PCs, die WPBT verwenden, liest Windows die Binärdaten aus der Tabelle in der UEFI-Firmware und kopiert sie beim Booten in eine Datei namens wpbbin.exe.

Anzeige

Sie können Ihren eigenen PC überprüfen, um zu sehen, ob der Hersteller Software im WPBT enthalten hat. Um das herauszufinden, öffnen Sie das Verzeichnis C:Windowssystem32 und suchen Sie nach einer Datei namens wpbbin.exe . Die Datei C:Windowssystem32wpbbin.exe existiert nur, wenn Windows sie von der UEFI-Firmware kopiert. Wenn es nicht vorhanden ist, hat Ihr PC-Hersteller WPBT nicht verwendet, um Software automatisch auf Ihrem PC auszuführen.

Vermeiden von WPBT und anderer Junkware

Microsoft hat im Zuge des unverantwortlichen Sicherheitsversagens von Lenovo noch ein paar weitere Regeln für diese Funktion aufgestellt. Aber es ist verblüffend, dass diese Funktion überhaupt existiert – und vor allem verblüffend, dass Microsoft sie PC-Herstellern ohne klare Sicherheitsanforderungen oder Richtlinien zu ihrer Verwendung zur Verfügung stellt.

Die überarbeiteten Richtlinien weisen OEMs an, sicherzustellen, dass Benutzer diese Funktion tatsächlich deaktivieren können, wenn sie dies nicht möchten, aber die Richtlinien von Microsoft haben PC-Hersteller in der Vergangenheit nicht davon abgehalten, die Windows-Sicherheit zu missbrauchen. Zeuge Samsung liefert PCs mit deaktiviertem Windows Update aus weil das einfacher war, als mit Microsoft zusammenzuarbeiten, um sicherzustellen, dass die richtigen Treiber zu Windows Update hinzugefügt wurden.

VERBUNDEN: Der einzige sichere Ort, um einen Windows-PC zu kaufen, ist der Microsoft Store

Dies ist ein weiteres Beispiel dafür, dass PC-Hersteller die Windows-Sicherheit nicht ernst nehmen. Wenn Sie vorhaben, einen neuen Windows-PC zu kaufen, empfehlen wir Ihnen, einen im Microsoft Store zu kaufen. Microsoft kümmert sich tatsächlich um diese PCs und stellt sicher, dass sie keine schädliche Software wie Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-Funktion, und all der andere Müll, den ein typischer PC mit sich bringt.

So löschen Sie den Druckspooler

Als wir dies in der Vergangenheit geschrieben haben, antworteten viele Leser, dass dies unnötig sei, da Sie immer einfach eine Neuinstallation von Windows durchführen könnten, um Bloatware loszuwerden. Nun, anscheinend stimmt das nicht – Der einzige todsichere Weg, einen Bloatware-freien Windows-PC zu erhalten, ist der Microsoft Store . So sollte es nicht sein, ist aber so.


Was am WPBT besonders beunruhigend ist, ist nicht nur das vollständige Versagen von Lenovo, es zu verwenden, um Sicherheitslücken und Junkware in saubere Installationen von Windows zu integrieren. Besonders besorgniserregend ist, dass Microsoft in erster Linie PC-Herstellern solche Funktionen zur Verfügung stellt – insbesondere ohne entsprechende Einschränkungen oder Anleitungen.

Anzeige

Es dauerte auch mehrere Jahre, bis dieses Feature in der weiteren Tech-Welt überhaupt auffiel, und das geschah nur aufgrund einer bösen Sicherheitslücke. Wer weiß, welche anderen fiesen Funktionen in Windows eingebaut sind, damit PC-Hersteller sie missbrauchen können. PC-Hersteller zerren den Ruf von Windows durch den Dreck und Microsoft muss sie in den Griff bekommen.

Bildnachweis: Cory M. Grenier auf Flickr

WEITER LESEN
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
  • › Was ist MIL-SPEC Fallschutz?
Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen