屢教不改!微軟在華產品又雙叒被曝留後門
作者丨青風
編輯丨六子
微軟被曝在華產品留有後門。
去年,微軟曾推出一個名為「UCPD」的Windows驅動程序,能阻止不受信任的第三方軟體修改瀏覽器、文檔等默認打開程序。
但專業人士通過逆向工程發現,這個原本被設計為保護用戶的程序,卻成為了微軟最底層的「自留地」。而且,該後門尤其針對中國用戶和中國的眾多知名軟體。
*圖源財經網科技微博
01「「保護默認設置」變成了木馬後門」
微軟在2024年3月推出了 UCPD 驅動程序。這個程序全名為「用戶選擇保護驅動程序」,原本用於防止軟體隨意更改默認瀏覽器或文件的打開方式。比如,有人將默認瀏覽器設置為Chrome,有人習慣用WPS打開文檔。
表面來看,這似乎是一個保護用戶設置的小「保安」。然而技術追蹤顯示這個組件遠比想象複雜得多。
據安全專家分析,這個小「保安」是一串加密數據,深藏在Windows系統註冊表裡。一旦檢測到用戶設置的默認應用有被修改的操作,微軟就可以通過雲端配置系統向它發送指令,實際是寫入數據,然後調用解密邏輯,再把這些數據轉換成可直接運行的可執行程序。
它手上有兩份名單,一個白名單,一個黑名單。白名單里的放行,黑名單里的就會被阻止、攔截。微軟自己的Edge瀏覽器、Office辦公軟體,自然都在白名單里。
而當這個「保安」被觸發激活時,它還會記錄用戶(尤其是中國地區用戶)的很多操作,比如運行了什麼軟體、該軟體的證書信息、修改了系統哪些設置、在白名單還是黑名單中、以及是否成功還是被攔截等。所有這些細節都被打包成一個模糊名稱的日誌。一旦用戶開啟了「發送可選診斷數據」,這些涉及個人隱私和商業機密的信息就會通過加密通道,無聲無息地流向微軟的伺服器。
可怕的是,上述操作的整個過程完全在後台靜默進行,用戶對此一無所知。
非用戶主動安裝,能直接運行,功能未知,甚至可能接收遠程指令。這顯然超出了「保護默認設置」的範疇,其運行邏輯幾乎和典型的木馬程序如出一轍:利用註冊表深層路徑隱藏關鍵數據;滿足系統事件后才會釋放可執行文件;動態生成,新程序功能不明,卻能直接運行;對特定地區用戶採集數據並傳輸……
UCPD 驅動程序和木馬的唯一差別在於,木馬是陌生的可疑程序,而 UCPD卻帶著微軟官方簽名。它擁有最高許可權、最深信任度,讓安全軟體也難以察覺。當一個後門披上了「官方組件」的外衣,它的隱蔽性與危險性更甚於木馬。
02「國內用戶被區別對待」
技術專家還發現,UCPD並不是對所有用戶一視同仁,尤其對中國區別對待。
它會從系統註冊表中讀取地理位置代碼,只有當代碼為中國大陸(45)、中國香港(104)、中國澳門(151)或中國台灣(237)時,才會全面激活所有監控功能,並強制開啟數據上報機制。
對於歐美等其他地區用戶,這些侵犯性的功能則完全不會觸發。只有中國的用戶運行了哪些軟體,都會被保安詳細記錄成「小報告」(日誌),然後加密寄回微軟總部。
技術分析發現,UCPD還內置了針對中國軟體廠商的攔截機制,通過數字簽名、進程名、路徑匹配等三重黑名單進行過濾。只要任何一項對上,保安就會立刻阻止該軟體修改系統默認設置。據查,在黑名單中的中國軟體廠商包括360、搜狗、金山、騰訊等。
這幾家的產品主要是安全、瀏覽器、輸入法、搜索、辦公等工具軟體,與微軟的很多產品有直接競爭。比如360瀏覽器、QQ瀏覽器對標微軟Edge,搜狗輸入法對標微軟輸入法,金山WPS平替微軟Office等。
而且,這幾家軟體的用戶量巨大,市場滲透率也都非常高。以360為例,根據最新的財報數據,360安全衛士(PC端)平均月活躍用戶數達4.3億,市場佔有率約95%;360安全瀏覽器平均月活躍用戶數近4億,市場佔有率約80%。
直接的競爭,與龐大的用戶規模,無疑給微軟帶來極大競爭壓力。而微軟UCPD驅動程序的暗中攔截行為,難免有既當球員、又當裁判員的嫌疑,明顯屬於不正當競爭。
當然,有不少用戶對360、搜狗、金山等軟體「強綁定」的行為,頗有微詞,但微軟UCPD的做法同樣沒有為用戶提供選擇權,既不當競爭,也有地域歧視。
形成鮮明對比的是,中國用戶面臨 UCPD的強制與後門,但在歐洲市場,微軟卻不得不按照《數字市場法》(DMA)的要求推出「公平模式」。由此可見,這不是技術能力問題,而是微軟策略上的差別對待。
03「屢教不改」
事實上,這並不是國外科技企業首次被曝「後門」安全風險。
今年7月31日,國家互聯網信息辦公室約談了英偉達公司,要求英偉達公司就對華銷售的H20算力晶元漏洞後門安全風險問題進行說明並提交相關證明材料。9月15日,國家市場監督管理總局發布消息稱,英偉達因違反反壟斷法,被該局依法決定實施進一步調查。
而把視線拉長,會發現一直標榜信息安全的微軟,竟然被多次曝光存在安全漏洞或後門程序。
今年8月,國家互聯網應急中心(CNCERT)監測發現,近年來,美國情報機構將網路攻擊竊密的重點目標瞄準我國高科技軍工類的高校、科研院所及企業。其中,2022年7月至2023年7月,美情報機構利用微軟Exchange郵件系統零日漏洞對我國某大型重要軍工企業的郵件伺服器攻擊並控制將近1年。
據央視新聞披露,2025 年哈爾濱第九屆亞冬會賽事信息系統和黑龍江省內的部分關鍵信息基礎設施遭到境外網路攻擊分別為27萬次、5000萬次,部分數據一度面臨泄露風險。據報道,上述攻擊是美國國家安全局基於微軟Windows操作系統的特定設備發送未知加密位元組,疑為喚醒、激活微軟Windows操作系統提前預留的特定後門。
*圖源央視
不僅如此,微軟還利用Windows操作系統的市場優勢,推廣自家的Edge瀏覽器,誘導用戶將其設為默認。比如,修改Chrome下載頁面,使用類似惡意軟體的彈窗干擾,在訪問Chrome、Firefox或Opera時強行跳轉到Edge,甚至通過Windows更新擅自啟動Edge並將其固定在桌面和任務欄。對此,Opera瀏覽器在2025年7月向巴西競爭監管機構提出投訴,指控微軟通過預裝、誤導性設計和人為增加設置難度等方式推廣Edge。
從上面諸多的案例可以看出,微軟系統後門事件不斷,是一個「屢教不改」的慣犯。通過各種「水面下」的操作,威脅著全球用戶的信息安全和國家安全。這也在時刻提醒國人,政務、能源等關鍵領域需全面切換至國產操作系統,避免完全依賴Windows生態。
– END –
*以上內容系網友會火自行轉載自青澄財經,該文僅代表原作者觀點和態度。本站系信息發布平台,僅提供信息存儲空間服務,不代表贊同其觀點和對其真實性負責。如果對文章或圖片/視頻版權有異議,請郵件至我們反饋,平台將會及時處理。