Skip to main content

Zombie Crapware: Bagaimana Windows Platform Binary Table Bekerja

Zombie Crapware: Bagaimana Windows Platform Binary Table Bekerja

Geoffrey Carr

Beberapa orang memperhatikan pada saat itu, tetapi Microsoft menambahkan fitur baru ke Windows 8 yang memungkinkan produsen untuk menginfeksi firmware UEFI dengan crapware. Windows akan terus menginstal dan membangkitkan perangkat lunak sampah ini bahkan setelah Anda melakukan instalasi bersih.

Fitur ini terus hadir di Windows 10, dan itu benar-benar membingungkan mengapa Microsoft akan memberi begitu banyak kekuatan kepada produsen PC. Ini menyoroti pentingnya membeli PC dari Microsoft Store - bahkan melakukan instalasi yang bersih mungkin tidak menyingkirkan semua bloatware yang terinstal.

WPBT 101

Dimulai dengan Windows 8, produsen PC dapat menanamkan program - file .exe Windows, pada dasarnya - dalam firmware UEFI PC. Ini disimpan di bagian "Platform Windows Binary Table" (WPBT) dari firmware UEFI. Setiap kali Windows mem-boot, ia melihat firmware UEFI untuk program ini, menyalinnya dari firmware ke drive sistem operasi, dan menjalankannya. Windows itu sendiri tidak menyediakan cara untuk menghentikan hal ini terjadi. Jika firmware UEFI produsen menawarkannya, Windows akan menjalankannya tanpa pertanyaan.

Lenovo LSE dan Lubang Keamanannya

Tidak mungkin untuk menulis tentang fitur yang dipertanyakan ini tanpa memperhatikan kasus yang membawanya ke perhatian publik. Lenovo mengirim berbagai PC dengan sesuatu yang disebut "Lenovo Service Engine" (LSE) yang diaktifkan. Inilah yang diklaim Lenovo sebagai daftar lengkap PC yang terpengaruh.

Ketika program dijalankan secara otomatis oleh Windows 8, Lenovo Service Engine mengunduh program yang disebut Pengoptimal SatuKey dan melaporkan sejumlah data kembali ke Lenovo. Lenovo menyiapkan layanan sistem yang dirancang untuk mengunduh dan memperbarui perangkat lunak dari Internet, sehingga mustahil untuk menghapusnya - mereka bahkan akan secara otomatis kembali setelah menginstal Windows dengan bersih.

Lenovo bahkan melangkah lebih jauh, memperluas teknik teduh ini ke Windows 7. Firmware UEFI memeriksa file C: Windows system32 autochk.exe dan menimpa dengan versi Lenovo sendiri. Program ini dijalankan saat boot untuk memeriksa sistem file pada Windows, dan trik ini memungkinkan Lenovo untuk membuat praktik buruk ini bekerja pada Windows 7 juga. Itu hanya menunjukkan bahwa WPBT bahkan tidak diperlukan - produsen PC hanya dapat memiliki firmware mereka menimpa file sistem Windows.

Microsoft dan Lenovo menemukan kerentanan keamanan utama dengan ini yang dapat dieksploitasi, jadi Lenovo telah dengan senang hati menghentikan pengiriman PC dengan sampah jahat ini. Lenovo menawarkan pembaruan yang akan menghapus LSE dari PC notebook dan pembaruan yang akan menghapus LSE dari PC desktop. Namun, ini tidak diunduh dan dipasang secara otomatis, begitu banyak - mungkin PC Lenovo yang paling terpengaruh akan terus memiliki sampah ini dipasang di firmware UEFI mereka.

Ini hanyalah masalah keamanan buruk dari pabrikan PC yang membawa kita PC terinfeksi Superfish. Tidak jelas apakah produsen PC lain telah menyalahgunakan WPBT dengan cara yang sama pada beberapa PC mereka.

Apa Kata Microsoft Tentang Ini?

Seperti dicatat Lenovo:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

Dengan kata lain, fitur Lenovo LSE yang menggunakan WPBT untuk mengunduh junkware dari Internet diizinkan di bawah desain dan panduan asli Microsoft untuk fitur WPBT. Panduannya baru sekarang disempurnakan.

Microsoft tidak menawarkan banyak informasi tentang ini. Hanya ada satu file .docx - bahkan halaman web - di situs web Microsoft dengan informasi tentang fitur ini. Anda dapat mempelajari semua yang Anda inginkan tentang hal itu dengan membaca dokumen. Ini menjelaskan alasan Microsoft untuk menyertakan fitur ini, menggunakan perangkat lunak anti-pencurian yang terus-menerus sebagai contoh:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration.  One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

Pertahanan fitur ini hanya ditambahkan ke dokumen setelah Lenovo menggunakannya untuk tujuan lain.

Apakah PC Anda Termasuk Perangkat Lunak WPBT?

Pada PC menggunakan WPBT, Windows membaca data biner dari tabel di firmware UEFI dan menyalinnya ke file bernama wpbbin.exe saat boot.

Anda dapat memeriksa PC Anda sendiri untuk melihat apakah pabrikan sudah memasukkan perangkat lunak dalam WPBT. Untuk mencari tahu, buka direktori C: Windows system32 dan cari file bernamawpbbin.exe. File C: Windows system32 wpbbin.exe hanya ada jika Windows menyalinnya dari firmware UEFI. Jika tidak ada, pabrikan PC Anda belum menggunakan WPBT untuk menjalankan perangkat lunak secara otomatis di PC Anda.

Menghindari WPBT dan Junkware Lainnya

Microsoft telah menyiapkan beberapa aturan lagi untuk fitur ini sebagai akibat dari kegagalan keamanan Lenovo yang tidak bertanggung jawab. Tapi itu membingungkan bahwa fitur ini bahkan ada di tempat pertama - dan terutama membingungkan bahwa Microsoft akan memberikannya kepada pabrikan PC tanpa persyaratan atau panduan keamanan yang jelas dalam penggunaannya.

Panduan yang direvisi ini menginstruksikan OEM untuk memastikan pengguna benar-benar dapat menonaktifkan fitur ini jika mereka tidak menginginkannya, tetapi pedoman Microsoft belum menghentikan produsen PC menyalahgunakan keamanan Windows di masa lalu. Menyaksikan Samsung mengirim PC dengan Pembaruan Windows dinonaktifkan karena itu lebih mudah daripada bekerja dengan Microsoft untuk memastikan driver yang tepat ditambahkan ke Pembaruan Windows.

Ini adalah contoh lain dari produsen PC yang tidak terlalu memperhatikan keamanan Windows.Jika Anda berencana membeli PC Windows baru, kami sarankan Anda membeli satu dari Microsoft Store, Microsoft benar-benar peduli tentang PC ini dan memastikan mereka tidak memiliki perangkat lunak berbahaya seperti Lenovo Superfish, Samsung Disable_WindowsUpdate.exe, fitur LSE Lenovo, dan semua sampah lain yang mungkin dimiliki PC biasa.

Ketika kami menulis ini di masa lalu, banyak pembaca menjawab bahwa ini tidak perlu karena Anda selalu bisa melakukan instalasi Windows yang bersih untuk menyingkirkan bloatware apa pun. Yah, tampaknya itu tidak benar - satu-satunya cara pasti untuk mendapatkan PC Windows yang bebas bloatware adalah dari Microsoft Store. Seharusnya tidak seperti ini, tapi itu.


Apa yang sangat mengganggu tentang WPBT bukan hanya kegagalan lengkap Lenovo dalam menggunakannya untuk memanggang kerentanan keamanan dan junkware ke dalam instalasi Windows yang bersih. Yang paling mengkhawatirkan adalah Microsoft menyediakan fitur seperti ini kepada produsen PC di tempat pertama - terutama tanpa batasan atau panduan yang tepat.

Ini juga mengambil beberapa tahun sebelum fitur ini bahkan menjadi perhatian di dunia teknologi yang lebih luas, dan itu hanya terjadi karena kerentanan keamanan yang buruk. Siapa yang tahu apa fitur jahat lainnya yang dipanggang ke Windows untuk produsen PC untuk disalahgunakan. Produsen PC menyeret reputasi Windows melalui kotoran dan Microsoft perlu mengendalikannya.

Link
Plus
Send
Send
Pin