文 | 青橙财经,作家丨青风,裁剪丨六子
微软被曝在华家具留有后门。
客岁,微软曾推出一个名为" UCPD "的 Windows 驱动门径,能远程不受信任的第三方软件修改浏览器、文档等默许大开门径。
但专科东谈主士通过逆向工程发现,这个本来被打算为保护用户的门径,却成为了微软最底层的"自留地"。而况,该后门尤其针对中国用户和中国的稠密知名软件。
* 图源财经网科技微博
01「"保护默许确立"变成了木马后门」
微软在 2024 年 3 月推出了 UCPD 驱动门径。这个门径全名为"用户遴荐保护驱动门径",本来用于退缩软件磨蹭更正默许浏览器或文献的大开面孔。比如,有东谈主将默许浏览器确立为 Chrome,有东谈主风俗用 WPS 大开文档。
名义来看,这似乎是一个保护用户确立的小"保安"。然则时刻跟踪走漏这个组件远比念念象复杂得多。
据安全内行分析,这个小"保安"是一串加密数据,深藏在 Windows 系统注册内外。一朝检测到用户确立的默许应用有被修改的操作,微软就不错通过云霄配置系统向它发送指示,骨子是写入数据,然后调用解密逻辑,再把这些数据调度成可径直脱手的可引申门径。
它手上有两份名单,一个白名单,一个黑名单。白名单里的放行,黑名单里的就会被远程、阻挡。微软我方的 Edge 浏览器、Office 办公软件,当然齐在白名单里。
而当这个"保安"被触发激活时,它还会记载用户(尤其是中国地区用户)的许多操作,比如脱手了什么软件、该软件的文凭信息、修改了系统哪些确立、在白名单还是黑名单中、以及是否胜利还是被阻挡等。通盘这些细节齐被打包成一个璷黫称号的日记。一朝用户开启了"发送可选会诊数据",这些波及个东谈主秘密和营业精巧的信息就和会过加密通谈,悄然无声地流向微软的业绩器。
可怕的是,上述操作的通盘这个词流程裕如在后台静默进行,用户对此一无所知。
非用户主动装置,能径直脱手,功能未知,以致可能秉承良友指示。这显着超出了"保护默许确立"的限制,其脱手逻辑险些和典型的木马门径如出一辙:诈欺注册表深层旅途守秘重要数据;夸耀系统事件后才会开释可引申文献;动态生成,新门径功能不解,却能径直脱手;对特定地区用户集会数据并传输 ……
UCPD 驱动门径和木马的独一离别在于,木马是目生的可疑门径,而 UCPD 却带着微软官方签名。它领有最高权限、最肯定任度,让安全软件也难以察觉。当一个后门披上了"官方组件"的外套,它的守秘性与危机性更甚于木马。
02「国内用户被区别对待」
时刻内行还发现,UCPD 并不是对通盘效户一视同仁,尤其对中国区别对待。
它会从系统注册表中读取地舆位置代码,唯独现代码为中国大陆(45)、中国香港(104)、中国澳门(151)或中国台湾(237)时,才会全面激活通盘监控功能,并强制开启数据上报机制。
关于泰西等其他地区用户,这些侵扰性的功能则裕如不会触发。唯独中国的用户脱手了哪些软件,齐会被保安宁备记载成"小敷陈"(日记),然后加密寄回微软总部。
时刻分析发现,UCPD 还内置了针对中国软件厂商的阻挡机制,通过数字签名、程度名、旅途匹配等三重黑名单进行过滤。只消任何一项对上,保安就会坐窝远程该软件修改系统默许确立。据查,在黑名单中的中国软件厂商包括 360、搜狗、金山、腾讯等。
这几家的家具主如果安全、浏览器、输入法、搜索、办公等器用软件,与微软的许多家具有径直竞争。比如 360 浏览器、QQ 浏览器对标微软 Edge,搜狗输入法对标微软输入法,金山 WPS 平替微软 Office 等。
而况,这几家软件的用户量巨大,市集渗入率也齐十分高。以 360 为例,凭据最新的财报数据,360 安全卫士(PC 端)平均月活跃用户数达 4.3 亿,市集占有率约 95%;360 安全浏览器平均月活跃用户数近 4 亿,市集占有率约 80%。
径直的竞争,与弘大的用户规模,无疑给微软带来极大竞争压力。而微软 UCPD 驱动门径的黢黑阻挡行径,未免有既当球员、又当评判员的嫌疑,显着属于不刚直竞争。
固然,有不少用户对 360、搜狗、金山等软件"强绑定"的行径,颇有微词,但微软 UCPD 的作念法一样莫得为用户提供遴荐权,既失当竞争,也有地域改悔。
造成显着对比的是,中国用户濒临 UCPD 的强制与后门,但在欧洲市集,微软却不得不按照《数字市集法》(DMA)的条目推出"自制方式"。由此可见,这不是时刻才智问题,而是微软计谋上的离别对待。
03「屡教不改」
事实上,这并不是外洋科技企业初度被曝"后门"安全风险。
本年 7 月 31 日,国度互联网信息办公室约谈了英伟达公司,条目英伟达公司就对华销售的 H20 算力芯片舛错后门安全风险问题进行领路并提交干系领路注解材料。9 月 15 日,国度市集监督责罚总局发布音问称,英伟达因违抗反把持法,被该局照章决定实施进一范例查。
而把视野拉长,会发现一直标榜信息安全的微软,确切被屡次曝光存在安全舛错或后门门径。
本年 8 月,国度互联网济急中心(CNCERT)监测发现,连年来,好意思国谍报机构将汇集袭击窃密的重心辩论对准我国高技术军工类的高校、科研院所及企业。其中,2022 年 7 月至 2023 年 7 月,好意思谍报机构诈欺微软 Exchange 邮件系统零日舛错对我国某大型病笃军工企业的邮件业绩器袭击并限制快要 1 年。
据央视新闻露馅,2025 年哈尔滨第九届亚冬会赛事信息系统和黑龙江省内的部分重要信息基础设施遭到境外汇集袭击阔别为 27 万次、5000 万次,部分数据一度濒临浮现风险。据报谈,上述袭击是好意思国国度安全局基于微软 Windows 操作系统的特定诞生发送未知加密字节,疑为叫醒、激活微软 Windows 操作系统提前预留的特定后门。
* 图源央视
不仅如斯,微软还诈欺 Windows 操作系统的市集上风,膨胀自家的 Edge 浏览器,指示用户将其设为默许。比如,修改 Chrome 下载页面,使用雷同坏心软件的弹窗滋扰,在拜谒 Chrome、Firefox 或 Opera 时强行跳转到 Edge,以致通过 Windows 更新私行启动 Edge 并将其固定在桌面和任务栏。对此,Opera 浏览器在 2025 年 7 月向巴西竞争监管机构建议投诉,指控微软通过预装、误导性打算和东谈主为增多确立难度等面孔膨胀 Edge。
从上头诸多的案例不错看出,微软系统后门事件约束,是一个"屡教不改"的惯犯。通过多样"水面下"的操作kaiyun体育,胁迫着民众用户的信息安全和国度安全。这也在期间教导国东谈主,政务、动力等重要规模需全面切换至国产操作系统,幸免裕如依赖 Windows 生态。
