托尼不是要做硬件測評嘛,經常要反復裝機�����,就時不時會碰見一個奇怪的現象:
在首次啟動一個全新安裝的 Windows 時����,經常會彈出一個框,問你要不要裝主板廠商的控制軟件����。
此時系統全新安裝且從未聯網
(資料圖片僅供參考)
要注意,這并不是彈窗要你裝驅動�,而是推廣自家的工具箱軟件,有點類似于英偉達的 GeForce Experience ����,并不是電腦運行必須的。
按理說全新安裝的系統不應該出現這些廣告�,因為我們的系統鏡像都是從微軟官網下載的,總不可能微軟官方提供別家的廣告軟件吧�����!
雖說微軟已經開始打包自家的廣告軟件了
不過這種廣告往往只會出現這一次�,不算太煩人,所以托尼也從來沒有深究此事�����。
但就在不久前前����,類似的 “ 小廣告 ” 扯出大事了,大到了我們覺得必須和大家講講����,這個看似無關緊要的牛皮蘚背后��,到底是多大的一個安全窟窿��。
五月底��,有媒體報道�,一家安全公司在技嘉主板上發(fā)現了一個 “ 后門 ” ( 原文如此 )�����,直接影響近四百多款主板�����。
本來這個新聞和托尼毫無關系����,因為技嘉的反華立場,我們這已經很久沒摸過技嘉的硬件了�。
當時托尼默道一聲 “house” ,直接把新聞劃走了����。
。�����。��。結果沒幾天����,就在知乎看到了 “ 老狼 ” 大佬的技術分析。
這篇文章一下子就讓我們意識到�,之前常常看見的 “ 小廣告 ” �����,和這次的 “ 后門 ” 事件技術上應該有聯系���。
托尼先簡單的總結一下 “ 老狼 ” 的這篇文章���,說說為啥我們這么想:
從 Windows 8 開始,微軟允許主板廠商在主板里內置一個 Windows 程序����,并且在每次 Windows 系統啟動的時候,操作系統都會利用一個名叫 WPBT 的接口�,啟動這個軟件�����。
也就是說�,無論用戶從哪搞到的 Windows 操作系統�,只要還在用這塊主板,電腦里就一定會運行主板廠商預置的那個程序��。
而且�����,這個內置程序的執(zhí)行根本不必通知用戶����,微軟和主板廠商也沒有在任何顯眼的地方提到這事。
換句話說�,主板廠商完全可以在你完全不知情的時候,給你的電腦上塞軟件��,而且還是無法通過常規(guī)手段刪除的����!
你以為從微軟官網下的鏡像,用官方辦法安裝系統�,就能避開那些帶廣告的第三方鏡像���,得到一個 “ 純凈 ” 、 “ 原生 ” 的系統�����;但實際上����,它可能早被主板廠商捷足先登啦��!
官方鏡像下載方式
在看完文章之后���,我們深入研究了一下����,確認 WPBT 這個微軟官方接口���,正是開頭提到的那些 “ 小廣告 ” 的來由:
主板廠把 “ 小廣告 ” 程序寫進 WPBT ����,無論你怎么安裝 Windows �����,都會執(zhí)行這個小廣告,在首次開機的時候給你來個彈窗����。
技嘉這次曝光的 “ 后門 ” 技術也類似,但預置的程序復雜的多:他們直接把自家的自動更新服務放進了 WPBT �。
也就是說,只要 Windows 一啟動��,技嘉的程序就會自動從互聯網上搜索和下載驅動更新�。
先不說有沒有必要,因為微軟從 2015 年的 Windows 10 開始��,就已經給系統配上了自動驅動更新服務�����。
單就講技嘉這程序的編寫質量�,說實話,真有點差到離譜了��。
使用不安全的連接方式�、更新服務器的配置錯誤,還要加上不進行文件的來源驗證。��。����。
這個 “ 自動更新服務 ” 可以說是漏洞百出,安全性完全為零�����。
看完安全公司的分析報告����,作為外行�����,托尼都能想出三四種辦法��,利用所謂的 “ 自動更新服務 ” ���,把惡意軟件塞進用戶電腦��。����。。
這個 “ 自動更新服務 ” 算不算后門我們不好說�����,大家自行判斷吧��。�����。���。
而且����,這已經不是廠商第一次利用 WPBT 塞有爭議的程序了����。
托尼上網一搜,就發(fā)現一些電腦品牌前些年都在沒有通知用戶的情況下�,在 WPBT 里塞過自家的更新程序或優(yōu)化軟件,而這很明顯是違反微軟 WPBT 使用政策的�。
微軟的文檔里明確說明, WPBT 解決方案必須不包括惡意軟件,即未經用戶充分同意而安裝的軟件或不需要的軟件����。
這些更新程序和小廣告,顯然不是 “ 經過用戶同意并且需要的程序 ” ���。
同時�,微軟還要求����,設備的合法擁有者在需要的時候能禁用和刪除這個功能。但同樣�����,現在這些個人電腦廠商都在完全沒有提供關閉選項的同時����,拿 WPBT 玩的挺嗨����。
微軟創(chuàng)造這個接口的本意,其實并不是給主板廠商塞廣告和 “ 后門 ” 的����,而是為了給企業(yè)設備管理和防盜提供方便����。
想想看�,企業(yè)電腦上無論員工怎么重裝,企業(yè)的設備管理軟件都不會被刷掉��,這是有真實需求的����。
同樣的,一個無法卸載的軟件�,也能實現類似于蘋果設備上的防盜鎖定、安卓手機的遠程鎖機這樣的功能��。
但微軟對這個接口放任自流�,同樣是不負責任的。
有人可能會說����,如果你不信任某個主板廠商,不信任某個主板的內置程序���,那不買它不就得了�?微軟憑什么給主板廠的濫用擦屁股?
但現實里�����,消費者很難避開可能有問題的 WPBT 軟件��,因為普通人根本不知道廠商有沒有在 WPBT 上搞幺蛾子�����。
這個問題過去幾乎沒人講�,大家都不知道,自然從來不會宣傳����;而一些廠商大多也抱著不用白不用的心態(tài),違反微軟要求����,濫用 WPBT 功能�����。
總而言之��,由于消費者很難確認主板上的 WPBT 是否可靠,微軟有義務給他們捅出來的簍子做善后���。
讓 WPBT 功能變成現在這種 “ 官方后門 ” ����,微軟監(jiān)管不力的責任是完全甩不開的���。
畢竟在托尼看來���,微軟是完全有能力把這種底層接口管好的。
在 Windows 10 時代�,微軟在殺毒軟件這個百花齊放的領域搞了一個白名單,在官方網站上列出了 44 個受 Windows 信任的殺毒軟件品牌�����。
現在�,能為大型企業(yè)提供商用電腦的生產商,全球算下來����,估計都沒有 44 個。
給他們的主板程序做個認證���,只給認證的程序開放 WPBT �����,應該不難吧�?
那些想在主板預裝軟件上搞些花活, “ 提高用戶體驗 ” 的廠商����,對 WPBT 現在的亂象也有責任。
你們在 “ 為用戶好 ” 的時候�,是不是也應該尊重一下消費者的知情權和選擇權呢?
比如說�,當這類不請自來的程序首次運行時,用戶是不是應該得到通知�?
現在這種把用戶蒙在鼓里捏扁揉圓,大家還無可奈何的情況����,絕不該繼續(xù)下去了。
標簽:
要文