安全專家曝微軟暗藏后門監(jiān)控中國用戶快訊
此次微軟被曝暗藏后門監(jiān)控中國用戶一事,UCPD.sys對(duì)中國用戶有額外一層監(jiān)控,UCPD.sys 會(huì)在系統(tǒng)注冊(cè)表的深層路徑寫入一串加密數(shù)據(jù)。
【TechWeb】9月15日消息,英偉達(dá)H20芯片后門風(fēng)波尚未遠(yuǎn)去,如今微軟又被曝出在華產(chǎn)品留有后門。
此次微軟后門事件的主角是UCPD.sys(全稱為User Choice Protection Driver,用戶選擇保護(hù)驅(qū)動(dòng)),一款“保護(hù)用戶設(shè)置的默認(rèn)應(yīng)用不被第三方軟件隨意修改”的工具。但用戶發(fā)現(xiàn),該程序背后藏有貓膩。
從事網(wǎng)絡(luò)安全的技術(shù)員玄道在個(gè)人公眾號(hào)發(fā)文稱,UCPD.sys在注冊(cè)表深層隱藏加密數(shù)據(jù)、動(dòng)態(tài)釋放未知程序,且僅對(duì)中國地區(qū)用戶強(qiáng)制開啟數(shù)據(jù)收集機(jī)制。此外,還精準(zhǔn)屏蔽360、騰訊、金山等中國安全及辦公軟件,引導(dǎo)用戶使用微軟相關(guān)軟件 。
反映在用戶層面,就是你將微軟默認(rèn)的瀏覽器或PDF閱讀器變更為國產(chǎn)軟件時(shí),會(huì)被UCPD.sys“橫加阻攔”,甚至在系統(tǒng)更新或電腦重啟后,又重新跳回到微軟默認(rèn)的應(yīng)用。
這一操作引發(fā)了人們對(duì)微軟不正當(dāng)競(jìng)爭(zhēng)的質(zhì)疑,更令人擔(dān)憂的是,用戶隱私、數(shù)據(jù)安全該如何保障。
微軟被曝區(qū)別對(duì)待中國用戶 偷偷上報(bào)用戶數(shù)據(jù)
按照微軟的公開說明,UCPD.sys 是一個(gè)“用戶選擇保護(hù)驅(qū)動(dòng)”,主要用于防止惡意軟件隨意更改默認(rèn)瀏覽器或文件打開方式。表面上看,這應(yīng)該相當(dāng)于一個(gè)“系統(tǒng)設(shè)置守護(hù)神”的功能,但網(wǎng)上曝光的技術(shù)追蹤顯示這個(gè)組件比想象中更復(fù)雜。
據(jù)玄道披露,UCPD.sys 會(huì)在系統(tǒng)注冊(cè)表的深層路徑寫入一串加密數(shù)據(jù),這些數(shù)據(jù)在常規(guī)工具看來是無意義的亂碼,但它其實(shí)會(huì)持續(xù)監(jiān)視注冊(cè)表路徑變更,微軟可以通過云端配置系統(tǒng)向該注冊(cè)表項(xiàng)寫入數(shù)據(jù),UCPD一旦檢測(cè)到變化,便會(huì)立即讀取并解析其中的內(nèi)容。
隨后UCPD.sys就會(huì)調(diào)用解密邏輯,把這些數(shù)據(jù)轉(zhuǎn)換成可直接運(yùn)行的可執(zhí)行程序(PE 文件)。這些程序并非用戶主動(dòng)安裝,卻能直接運(yùn)行,功能未知,甚至可能接收遠(yuǎn)程指令。
(線程函數(shù):循環(huán)監(jiān)控指定注冊(cè)表項(xiàng),一旦變化即讀取并處理鍵值)
換句話說,它像木馬一樣,利用注冊(cè)表當(dāng)作倉庫,在暗中釋放程序。這已經(jīng)超出了“保護(hù)默認(rèn)設(shè)置”的范疇,就是一個(gè)潛伏的后門。
更令人不安的是,UCPD.sys對(duì)中國用戶有額外一層監(jiān)控。具體表現(xiàn)為,UCPD會(huì)主動(dòng)讀取系統(tǒng)地理位置編碼。當(dāng)代碼為中國(45)、中國香港(104)、中國澳門(151)或中國臺(tái)灣(237)時(shí),驅(qū)動(dòng)會(huì)激活額外的監(jiān)控功能并開啟日志上報(bào)行為。
而日志內(nèi)容極其詳盡,包括ProcName(進(jìn)程的完整路徑)、ModifingModulePublisher(模塊的數(shù)字證書簽發(fā)者)、RegKeyPath / PreProgId(試圖修改的注冊(cè)表路徑及修改前后的值)以及UCPDVersion / CloudRuleVersion(驅(qū)動(dòng)和云規(guī)則的版本)。
如果用戶系統(tǒng)開啟了“發(fā)送可選診斷數(shù)據(jù)”,這些日志將被加密上傳至微軟服務(wù)器。
也就是說,這些報(bào)告不僅記錄了你做了什么,還記錄了你用了誰家的工具,以及系統(tǒng)最終是如何處理的。這些數(shù)據(jù)匯聚到微軟,足以清晰還原出中國用戶的軟件使用習(xí)慣和偏好。
值得一提的是,在其他地區(qū),這些功能是關(guān)閉的。比如,在歐盟地區(qū),受《數(shù)字市場(chǎng)法》(DMA)的要求,微軟不得不推出“公平模式”。用戶可以一鍵切換包括瀏覽器、PDF閱讀器和Office軟件的默認(rèn)應(yīng)用。而且系統(tǒng)不會(huì)阻攔用戶對(duì)默認(rèn)應(yīng)用的修改,更不會(huì)自動(dòng)恢復(fù)原有設(shè)置。
還有這些中國軟件被微軟針對(duì)性限制
除了中國用戶被區(qū)別對(duì)待之外,一些中國軟件也被微軟“針對(duì)性限制”。
在UCPD.sys所謂的“保護(hù)機(jī)制”名單中,360、騰訊、聯(lián)想、WPS、搜狗、2345等國內(nèi)用戶高頻使用的軟件均被納入限制范圍,幾乎覆蓋了日常辦公、安全防護(hù)、工具應(yīng)用等核心領(lǐng)域。
玄道指出,UCPD內(nèi)置了針對(duì)中國軟件廠商的攔截機(jī)制,通過三重黑名單進(jìn)行過濾:
1.數(shù)字簽名黑名單:直接檢查程序數(shù)字證書的發(fā)行者,只要是名單上的中國廠商(如360、騰訊、金山等),其操作一律被阻止。
2.進(jìn)程名黑名單:檢查運(yùn)行中的進(jìn)程名是否匹配黑名單。
3. 進(jìn)程路徑黑名單:檢查程序是否安裝在這些廠商的常見目錄下。
微軟宣稱這是“守護(hù)用戶選擇”,防止“惡意修改設(shè)置”,實(shí)際上則被認(rèn)為是通過系統(tǒng)級(jí)權(quán)限,限制第三方軟件與微軟體系軟件的競(jìng)爭(zhēng)。
寫在最后:
玄道認(rèn)為,UCPD遠(yuǎn)不止一個(gè)簡單的“保護(hù)驅(qū)動(dòng)” ,其根據(jù)地理位置激活不同行為模式的做法,構(gòu)成了對(duì)中國用戶的歧視性監(jiān)控。而其針對(duì)中國軟件廠商的黑名單,則涉嫌利用系統(tǒng)底層權(quán)限進(jìn)行不正當(dāng)競(jìng)爭(zhēng)。 更重要的是,其遠(yuǎn)程代碼執(zhí)行機(jī)制的存在,在本質(zhì)上為系統(tǒng)開了一個(gè)巨大的“后門”,帶來了潛在的安全風(fēng)險(xiǎn)。
2022年7月至2023年7月,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)到美國情報(bào)機(jī)構(gòu)利用微軟Exchange郵件系統(tǒng)漏洞,長期攻擊我國軍工企業(yè)、航天研究所及生物醫(yī)藥公司。
據(jù)央視新聞披露,2025年哈爾濱第九屆亞冬會(huì)賽事信息系統(tǒng)和黑龍江省內(nèi)的部分關(guān)鍵信息基礎(chǔ)設(shè)施遭到境外網(wǎng)絡(luò)攻擊超5000萬次。據(jù)報(bào)道,上述攻擊是美國國家安全局基于微軟Windows操作系統(tǒng)的特定設(shè)備發(fā)送未知加密字節(jié),疑為喚醒、激活微軟Windows操作系統(tǒng)提前預(yù)留的特定后門。
此次微軟被曝暗藏后門監(jiān)控中國用戶一事,不僅關(guān)乎用戶隱私,也讓“國際產(chǎn)品是否絕對(duì)安全”再次成為輿論關(guān)注焦點(diǎn)。有業(yè)內(nèi)人士指出,微軟正從隱私守護(hù)者變成監(jiān)控幫兇,用戶對(duì)其數(shù)字工具的信任正在崩塌。
對(duì)此,截至發(fā)稿,微軟方面暫未回應(yīng)。(周小白)
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
