技嘉主板大漏洞，你家主板竟然能自己装软件。。。

本文原创于微信公众号：差评 作者：托尼

(资料图片)

托尼不是要做硬件测评嘛，经常要反复装机，就时不时会碰见一个奇怪的现象：

在首次启动一个全新安装的 Windows 时，经常会弹出一个框，问你要不要装主板厂商的控制软件。

此时系统全新安装且从未联网

要注意，这并不是弹窗要你装驱动，而是推广自家的工具箱软件，有点类似于英伟达的 GeForce Experience ，并不是电脑运行必须的。

按理说全新安装的系统不应该出现这些广告，因为我们的系统镜像都是从微软官网下载的，总不可能微软官方提供别家的广告软件吧！

虽说微软已经开始打包自家的广告软件了

不过这种广告往往只会出现这一次，不算太烦人，所以托尼也从来没有深究此事。

但就在不久前前，类似的“小广告”扯出大事了，大到了我们觉得必须和大家讲讲，这个看似无关紧要的牛皮藓背后，到底是多大的一个安全窟窿。

五月底，有媒体报道，一家安全公司在技嘉主板上发现了一个“后门”（原文如此），直接影响近四百多款主板。

本来这个新闻和托尼毫无关系，因为技嘉的反华立场，我们这已经很久没摸过技嘉的硬件了。

当时托尼默道一声“house”，直接把新闻划走了。

。。。结果没几天，就在知乎看到了“老狼”大佬的技术分析。

这篇文章一下子就让我们意识到，之前常常看见的“小广告”，和这次的“后门”事件技术上应该有联系。

托尼先简单的总结一下“老狼”的这篇文章，说说为啥我们这么想：

从 Windows 8 开始，微软允许主板厂商在主板里内置一个 Windows 程序，并且在每次 Windows 系统启动的时候，操作系统都会利用一个名叫 WPBT 的接口，启动这个软件。

也就是说，无论用户从哪搞到的 Windows 操作系统，只要还在用这块主板，电脑里就一定会运行主板厂商预置的那个程序。

而且，这个内置程序的执行根本不必通知用户，微软和主板厂商也没有在任何显眼的地方提到这事。

换句话说，主板厂商完全可以在你完全不知情的时候，给你的电脑上塞软件，而且还是无法通过常规手段删除的！

你以为从微软官网下的镜像，用官方办法安装系统，就能避开那些带广告的第三方镜像，得到一个“纯净”、“原生”的系统；但实际上，它可能早被主板厂商捷足先登啦！

官方镜像下载方式

在看完文章之后，我们深入研究了一下，确认 WPBT 这个微软官方接口，正是开头提到的那些“小广告”的来由：

主板厂把“小广告”程序写进 WPBT ，无论你怎么安装 Windows ，都会执行这个小广告，在首次开机的时候给你来个弹窗。

技嘉这次曝光的“后门”技术也类似，但预置的程序复杂的多：他们直接把自家的自动更新服务放进了 WPBT 。

也就是说，只要 Windows 一启动，技嘉的程序就会自动从互联网上搜索和下载驱动更新。

先不说有没有必要，因为微软从 2015 年的 Windows 10开始，就已经给系统配上了自动驱动更新服务。

单就讲技嘉这程序的编写质量，说实话，真有点差到离谱了。

使用不安全的连接方式、更新服务器的配置错误，还要加上不进行文件的来源验证。。。

这个“自动更新服务”可以说是漏洞百出，安全性完全为零。

看完安全公司的分析报告，作为外行，托尼都能想出三四种办法，利用所谓的“自动更新服务”，把恶意软件塞进用户电脑。。。

这个“自动更新服务”算不算后门我们不好说，大家自行判断吧。。。

而且，这已经不是厂商第一次利用 WPBT 塞有争议的程序了。

托尼上网一搜，就发现一些电脑品牌前些年都在没有通知用户的情况下，在 WPBT 里塞过自家的更新程序或优化软件，而这很明显是违反微软 WPBT 使用政策的。

微软的文档里明确说明， WPBT 解决方案必须不包括恶意软件，即未经用户充分同意而安装的软件或不需要的软件。

这些更新程序和小广告，显然不是“经过用户同意并且需要的程序”。

同时，微软还要求，设备的合法拥有者在需要的时候能禁用和删除这个功能。但同样，现在这些个人电脑厂商都在完全没有提供关闭选项的同时，拿 WPBT 玩的挺嗨。

微软创造这个接口的本意，其实并不是给主板厂商塞广告和“后门”的，而是为了给企业设备管理和防盗提供方便。

想想看，企业电脑上无论员工怎么重装，企业的设备管理软件都不会被刷掉，这是有真实需求的。

同样的，一个无法卸载的软件，也能实现类似于苹果设备上的防盗锁定、安卓手机的远程锁机这样的功能。

但微软对这个接口放任自流，同样是不负责任的。

有人可能会说，如果你不信任某个主板厂商，不信任某个主板的内置程序，那不买它不就得了？微软凭什么给主板厂的滥用擦屁股？

但现实里，消费者很难避开可能有问题的 WPBT 软件，因为普通人根本不知道厂商有没有在 WPBT 上搞幺蛾子。

这个问题过去几乎没人讲，大家都不知道，自然从来不会宣传；而一些厂商大多也抱着不用白不用的心态，违反微软要求，滥用 WPBT 功能。

总而言之，由于消费者很难确认主板上的 WPBT 是否可靠，微软有义务给他们捅出来的篓子做善后。

让 WPBT 功能变成现在这种“官方后门”，微软监管不力的责任是完全甩不开的。

毕竟在托尼看来，微软是完全有能力把这种底层接口管好的。

在 Windows 10时代，微软在杀毒软件这个百花齐放的领域搞了一个白名单，在官方网站上列出了 44 个受 Windows 信任的杀毒软件品牌。

现在，能为大型企业提供商用电脑的生产商，全球算下来，估计都没有 44 个。

给他们的主板程序做个认证，只给认证的程序开放 WPBT ，应该不难吧？

那些想在主板预装软件上搞些花活，“提高用户体验”的厂商，对 WPBT 现在的乱象也有责任。

你们在“ 为用户好” 的时候，是不是也应该尊重一下消费者的知情权和选择权呢？

比如说，当这类不请自来的程序首次运行时，用户是不是应该得到通知？

现在这种把用户蒙在鼓里捏扁揉圆，大家还无可奈何的情况，绝不该继续下去了。

图片、资料来源：

Eclypsium，SUPPLY CHAIN RISK FROM GIGABYTE APP CENTER BACKDOOR

知乎，@老狼

Windows Hardware Dev Center Archive，Windows Platform Binary Table (WPBT)