技嘉主板大漏洞，你傢主板竟然能自己裝軟件…

托尼不是要做硬件測評嘛，經常要反復裝機，就時不時會碰見一個奇怪的現象：

在首次啟動一個全新安裝的 Windows 時，經常會彈出一個框，問你要不要裝主板廠商的控制軟件。

此時系統全新安裝且從未聯網

要註意，這並不是彈窗要你裝驅動，而是推廣自傢的工具箱軟件，有點類似於英偉達的 GeForce Experience ，並不是電腦運行必須的。

按理說全新安裝的系統不應該出現這些廣告，因為我們的系統鏡像都是從微軟官網下載的，總不可能微軟官方提供別傢的廣告軟件吧！

雖說微軟已經開始打包自傢的廣告軟件瞭

不過這種廣告往往隻會出現這一次，不算太煩人，所以托尼也從來沒有深究此事。

但就在不久前前，類似的 “ 小廣告 ” 扯出大事瞭，大到瞭我們覺得必須和大傢講講，這個看似無關緊要的牛皮蘚背後，到底是多大的一個安全窟窿。

五月底，有媒體報道，一傢安全公司在技嘉主板上發現瞭一個 “ 後門 ” （ 原文如此 ），直接影響近四百多款主板。

本來這個新聞和托尼毫無關系，因為技嘉的反華立場，我們這已經很久沒摸過技嘉的硬件瞭。

當時托尼默道一聲 “house” ，直接把新聞劃走瞭。

。。。結果沒幾天，就在知乎看到瞭 “ 老狼 ” 大佬的技術分析。

這篇文章一下子就讓我們意識到，之前常常看見的 “ 小廣告 ” ，和這次的 “ 後門 ” 事件技術上應該有聯系。

托尼先簡單的總結一下 “ 老狼 ” 的這篇文章，說說為啥我們這麼想：

從 Windows 8 開始，微軟允許主板廠商在主板裡內置一個 Windows 程序，並且在每次 Windows 系統啟動的時候，操作系統都會利用一個名叫 WPBT 的接口，啟動這個軟件。

也就是說，無論用戶從哪搞到的 Windows 操作系統，隻要還在用這塊主板，電腦裡就一定會運行主板廠商預置的那個程序。

而且，這個內置程序的執行根本不必通知用戶，微軟和主板廠商也沒有在任何顯眼的地方提到這事。

換句話說，主板廠商完全可以在你完全不知情的時候，給你的電腦上塞軟件，而且還是無法通過常規手段刪除的！

你以為從微軟官網下的鏡像，用官方辦法安裝系統，就能避開那些帶廣告的第三方鏡像，得到一個 “ 純凈 ” 、 “ 原生 ” 的系統；但實際上，它可能早被主板廠商捷足先登啦！

官方鏡像下載方式

在看完文章之後，我們深入研究瞭一下，確認 WPBT 這個微軟官方接口，正是開頭提到的那些 “ 小廣告 ” 的來由：

主板廠把 “ 小廣告 ” 程序寫進 WPBT ，無論你怎麼安裝 Windows ，都會執行這個小廣告，在首次開機的時候給你來個彈窗。

技嘉這次曝光的 “ 後門 ” 技術也類似，但預置的程序復雜的多：他們直接把自傢的自動更新服務放進瞭 WPBT 。

也就是說，隻要 Windows 一啟動，技嘉的程序就會自動從互聯網上搜索和下載驅動更新。

先不說有沒有必要，因為微軟從 2015 年的 Windows 10 開始，就已經給系統配上瞭自動驅動更新服務。

單就講技嘉這程序的編寫質量，說實話，真有點差到離譜瞭。

使用不安全的連接方式、更新服務器的配置錯誤，還要加上不進行文件的來源驗證。。。

這個 “ 自動更新服務 ” 可以說是漏洞百出，安全性完全為零。

看完安全公司的分析報告，作為外行，托尼都能想出三四種辦法，利用所謂的 “ 自動更新服務 ” ，把惡意軟件塞進用戶電腦。。。

這個 “ 自動更新服務 ” 算不算後門我們不好說，大傢自行判斷吧。。。

而且，這已經不是廠商第一次利用 WPBT 塞有爭議的程序瞭。

托尼上網一搜，就發現一些電腦品牌前些年都在沒有通知用戶的情況下，在 WPBT 裡塞過自傢的更新程序或優化軟件，而這很明顯是違反微軟 WPBT 使用政策的。

微軟的文檔裡明確說明， WPBT 解決方案必須不包括惡意軟件，即未經用戶充分同意而安裝的軟件或不需要的軟件。

這些更新程序和小廣告，顯然不是 “ 經過用戶同意並且需要的程序 ” 。

同時，微軟還要求，設備的合法擁有者在需要的時候能禁用和刪除這個功能。但同樣，現在這些個人電腦廠商都在完全沒有提供關閉選項的同時，拿 WPBT 玩的挺嗨。

微軟創造這個接口的本意，其實並不是給主板廠商塞廣告和 “ 後門 ” 的，而是為瞭給企業設備管理和防盜提供方便。

想想看，企業電腦上無論員工怎麼重裝，企業的設備管理軟件都不會被刷掉，這是有真實需求的。

同樣的，一個無法卸載的軟件，也能實現類似於蘋果設備上的防盜鎖定、安卓手機的遠程鎖機這樣的功能。

但微軟對這個接口放任自流，同樣是不負責任的。

有人可能會說，如果你不信任某個主板廠商，不信任某個主板的內置程序，那不買它不就得瞭？微軟憑什麼給主板廠的濫用擦屁股？

但現實裡，消費者很難避開可能有問題的 WPBT 軟件，因為普通人根本不知道廠商有沒有在 WPBT 上搞幺蛾子。

這個問題過去幾乎沒人講，大傢都不知道，自然從來不會宣傳；而一些廠商大多也抱著不用白不用的心態，違反微軟要求，濫用 WPBT 功能。

總而言之，由於消費者很難確認主板上的 WPBT 是否可靠，微軟有義務給他們捅出來的簍子做善後。

讓 WPBT 功能變成現在這種 “ 官方後門 ” ，微軟監管不力的責任是完全甩不開的。

畢竟在托尼看來，微軟是完全有能力把這種底層接口管好的。

在 Windows 10 時代，微軟在殺毒軟件這個百花齊放的領域搞瞭一個白名單，在官方網站上列出瞭 44 個受 Windows 信任的殺毒軟件品牌。

現在，能為大型企業提供商用電腦的生產商，全球算下來，估計都沒有 44 個。

給他們的主板程序做個認證，隻給認證的程序開放 WPBT ，應該不難吧？

那些想在主板預裝軟件上搞些花活， “ 提高用戶體驗 ” 的廠商，對 WPBT 現在的亂象也有責任。

你們在 “ 為用戶好 ” 的時候，是不是也應該尊重一下消費者的知情權和選擇權呢？

比如說，當這類不請自來的程序首次運行時，用戶是不是應該得到通知？

現在這種把用戶蒙在鼓裡捏扁揉圓，大傢還無可奈何的情況，絕不該繼續下去瞭。