托尼不是要做硬件測評嘛,經常要反復裝機,就時不時會碰見一個奇怪的現象:
在首次啟動一個全新安裝的 Windows 時,經常會彈出一個框,問你要不要裝主板廠商的控制軟件。
此時系統全新安裝且從未聯網
要註意,這並不是彈窗要你裝驅動,而是推廣自傢的工具箱軟件,有點類似於英偉達的 GeForce Experience ,並不是電腦運行必須的。
按理說全新安裝的系統不應該出現這些廣告,因為我們的系統鏡像都是從微軟官網下載的,總不可能微軟官方提供別傢的廣告軟件吧!
雖說微軟已經開始打包自傢的廣告軟件瞭
不過這種廣告往往隻會出現這一次,不算太煩人,所以托尼也從來沒有深究此事。
但就在不久前前,類似的 “ 小廣告 ” 扯出大事瞭,大到瞭我們覺得必須和大傢講講,這個看似無關緊要的牛皮蘚背後,到底是多大的一個安全窟窿。
五月底,有媒體報道,一傢安全公司在技嘉主板上發現瞭一個 “ 後門 ” ( 原文如此 ),直接影響近四百多款主板。
本來這個新聞和托尼毫無關系,因為技嘉的反華立場,我們這已經很久沒摸過技嘉的硬件瞭。
當時托尼默道一聲 “house” ,直接把新聞劃走瞭。
。。。結果沒幾天,就在知乎看到瞭 “ 老狼 ” 大佬的技術分析。
這篇文章一下子就讓我們意識到,之前常常看見的 “ 小廣告 ” ,和這次的 “ 後門 ” 事件技術上應該有聯系。
托尼先簡單的總結一下 “ 老狼 ” 的這篇文章,說說為啥我們這麼想:
從 Windows 8 開始,微軟允許主板廠商在主板裡內置一個 Windows 程序,並且在每次 Windows 系統啟動的時候,操作系統都會利用一個名叫 WPBT 的接口,啟動這個軟件。
也就是說,無論用戶從哪搞到的 Windows 操作系統,隻要還在用這塊主板,電腦裡就一定會運行主板廠商預置的那個程序。
而且,這個內置程序的執行根本不必通知用戶,微軟和主板廠商也沒有在任何顯眼的地方提到這事。
換句話說,主板廠商完全可以在你完全不知情的時候,給你的電腦上塞軟件,而且還是無法通過常規手段刪除的!
你以為從微軟官網下的鏡像,用官方辦法安裝系統,就能避開那些帶廣告的第三方鏡像,得到一個 “ 純凈 ” 、 “ 原生 ” 的系統;但實際上,它可能早被主板廠商捷足先登啦!
官方鏡像下載方式
在看完文章之後,我們深入研究瞭一下,確認 WPBT 這個微軟官方接口,正是開頭提到的那些 “ 小廣告 ” 的來由:
主板廠把 “ 小廣告 ” 程序寫進 WPBT ,無論你怎麼安裝 Windows ,都會執行這個小廣告,在首次開機的時候給你來個彈窗。
技嘉這次曝光的 “ 後門 ” 技術也類似,但預置的程序復雜的多:他們直接把自傢的自動更新服務放進瞭 WPBT 。
也就是說,隻要 Windows 一啟動,技嘉的程序就會自動從互聯網上搜索和下載驅動更新。
先不說有沒有必要,因為微軟從 2015 年的 Windows 10 開始,就已經給系統配上瞭自動驅動更新服務。
單就講技嘉這程序的編寫質量,說實話,真有點差到離譜瞭。
使用不安全的連接方式、更新服務器的配置錯誤,還要加上不進行文件的來源驗證。。。
這個 “ 自動更新服務 ” 可以說是漏洞百出,安全性完全為零。
看完安全公司的分析報告,作為外行,托尼都能想出三四種辦法,利用所謂的 “ 自動更新服務 ” ,把惡意軟件塞進用戶電腦。。。
這個 “ 自動更新服務 ” 算不算後門我們不好說,大傢自行判斷吧。。。
而且,這已經不是廠商第一次利用 WPBT 塞有爭議的程序瞭。
托尼上網一搜,就發現一些電腦品牌前些年都在沒有通知用戶的情況下,在 WPBT 裡塞過自傢的更新程序或優化軟件,而這很明顯是違反微軟 WPBT 使用政策的。
微軟的文檔裡明確說明, WPBT 解決方案必須不包括惡意軟件,即未經用戶充分同意而安裝的軟件或不需要的軟件。
這些更新程序和小廣告,顯然不是 “ 經過用戶同意並且需要的程序 ” 。
同時,微軟還要求,設備的合法擁有者在需要的時候能禁用和刪除這個功能。但同樣,現在這些個人電腦廠商都在完全沒有提供關閉選項的同時,拿 WPBT 玩的挺嗨。
微軟創造這個接口的本意,其實並不是給主板廠商塞廣告和 “ 後門 ” 的,而是為瞭給企業設備管理和防盜提供方便。
想想看,企業電腦上無論員工怎麼重裝,企業的設備管理軟件都不會被刷掉,這是有真實需求的。
同樣的,一個無法卸載的軟件,也能實現類似於蘋果設備上的防盜鎖定、安卓手機的遠程鎖機這樣的功能。
但微軟對這個接口放任自流,同樣是不負責任的。
有人可能會說,如果你不信任某個主板廠商,不信任某個主板的內置程序,那不買它不就得瞭?微軟憑什麼給主板廠的濫用擦屁股?
但現實裡,消費者很難避開可能有問題的 WPBT 軟件,因為普通人根本不知道廠商有沒有在 WPBT 上搞幺蛾子。
這個問題過去幾乎沒人講,大傢都不知道,自然從來不會宣傳;而一些廠商大多也抱著不用白不用的心態,違反微軟要求,濫用 WPBT 功能。
總而言之,由於消費者很難確認主板上的 WPBT 是否可靠,微軟有義務給他們捅出來的簍子做善後。
讓 WPBT 功能變成現在這種 “ 官方後門 ” ,微軟監管不力的責任是完全甩不開的。
畢竟在托尼看來,微軟是完全有能力把這種底層接口管好的。
在 Windows 10 時代,微軟在殺毒軟件這個百花齊放的領域搞瞭一個白名單,在官方網站上列出瞭 44 個受 Windows 信任的殺毒軟件品牌。
現在,能為大型企業提供商用電腦的生產商,全球算下來,估計都沒有 44 個。
給他們的主板程序做個認證,隻給認證的程序開放 WPBT ,應該不難吧?
那些想在主板預裝軟件上搞些花活, “ 提高用戶體驗 ” 的廠商,對 WPBT 現在的亂象也有責任。
你們在 “ 為用戶好 ” 的時候,是不是也應該尊重一下消費者的知情權和選擇權呢?
比如說,當這類不請自來的程序首次運行時,用戶是不是應該得到通知?
現在這種把用戶蒙在鼓裡捏扁揉圓,大傢還無可奈何的情況,絕不該繼續下去瞭。
發表評論 取消回复