安全專家曝微軟暗藏后門監控中國用戶快訊
此次微軟被曝暗藏后門監控中國用戶一事,UCPD.sys對中國用戶有額外一層監控,UCPD.sys 會在系統注冊表的深層路徑寫入一串加密數據。
【TechWeb】9月15日消息,英偉達H20芯片后門風波尚未遠去,如今微軟又被曝出在華產品留有后門。
此次微軟后門事件的主角是UCPD.sys(全稱為User Choice Protection Driver,用戶選擇保護驅動),一款“保護用戶設置的默認應用不被第三方軟件隨意修改”的工具。但用戶發現,該程序背后藏有貓膩。
從事網絡安全的技術員玄道在個人公眾號發文稱,UCPD.sys在注冊表深層隱藏加密數據、動態釋放未知程序,且僅對中國地區用戶強制開啟數據收集機制。此外,還精準屏蔽360、騰訊、金山等中國安全及辦公軟件,引導用戶使用微軟相關軟件 。
反映在用戶層面,就是你將微軟默認的瀏覽器或PDF閱讀器變更為國產軟件時,會被UCPD.sys“橫加阻攔”,甚至在系統更新或電腦重啟后,又重新跳回到微軟默認的應用。
這一操作引發了人們對微軟不正當競爭的質疑,更令人擔憂的是,用戶隱私、數據安全該如何保障。
微軟被曝區別對待中國用戶 偷偷上報用戶數據
按照微軟的公開說明,UCPD.sys 是一個“用戶選擇保護驅動”,主要用于防止惡意軟件隨意更改默認瀏覽器或文件打開方式。表面上看,這應該相當于一個“系統設置守護神”的功能,但網上曝光的技術追蹤顯示這個組件比想象中更復雜。
據玄道披露,UCPD.sys 會在系統注冊表的深層路徑寫入一串加密數據,這些數據在常規工具看來是無意義的亂碼,但它其實會持續監視注冊表路徑變更,微軟可以通過云端配置系統向該注冊表項寫入數據,UCPD一旦檢測到變化,便會立即讀取并解析其中的內容。
隨后UCPD.sys就會調用解密邏輯,把這些數據轉換成可直接運行的可執行程序(PE 文件)。這些程序并非用戶主動安裝,卻能直接運行,功能未知,甚至可能接收遠程指令。
(線程函數:循環監控指定注冊表項,一旦變化即讀取并處理鍵值)
換句話說,它像木馬一樣,利用注冊表當作倉庫,在暗中釋放程序。這已經超出了“保護默認設置”的范疇,就是一個潛伏的后門。
更令人不安的是,UCPD.sys對中國用戶有額外一層監控。具體表現為,UCPD會主動讀取系統地理位置編碼。當代碼為中國(45)、中國香港(104)、中國澳門(151)或中國臺灣(237)時,驅動會激活額外的監控功能并開啟日志上報行為。
而日志內容極其詳盡,包括ProcName(進程的完整路徑)、ModifingModulePublisher(模塊的數字證書簽發者)、RegKeyPath / PreProgId(試圖修改的注冊表路徑及修改前后的值)以及UCPDVersion / CloudRuleVersion(驅動和云規則的版本)。
如果用戶系統開啟了“發送可選診斷數據”,這些日志將被加密上傳至微軟服務器。
也就是說,這些報告不僅記錄了你做了什么,還記錄了你用了誰家的工具,以及系統最終是如何處理的。這些數據匯聚到微軟,足以清晰還原出中國用戶的軟件使用習慣和偏好。
值得一提的是,在其他地區,這些功能是關閉的。比如,在歐盟地區,受《數字市場法》(DMA)的要求,微軟不得不推出“公平模式”。用戶可以一鍵切換包括瀏覽器、PDF閱讀器和Office軟件的默認應用。而且系統不會阻攔用戶對默認應用的修改,更不會自動恢復原有設置。
還有這些中國軟件被微軟針對性限制
除了中國用戶被區別對待之外,一些中國軟件也被微軟“針對性限制”。
在UCPD.sys所謂的“保護機制”名單中,360、騰訊、聯想、WPS、搜狗、2345等國內用戶高頻使用的軟件均被納入限制范圍,幾乎覆蓋了日常辦公、安全防護、工具應用等核心領域。
玄道指出,UCPD內置了針對中國軟件廠商的攔截機制,通過三重黑名單進行過濾:
1.數字簽名黑名單:直接檢查程序數字證書的發行者,只要是名單上的中國廠商(如360、騰訊、金山等),其操作一律被阻止。
2.進程名黑名單:檢查運行中的進程名是否匹配黑名單。
3. 進程路徑黑名單:檢查程序是否安裝在這些廠商的常見目錄下。
微軟宣稱這是“守護用戶選擇”,防止“惡意修改設置”,實際上則被認為是通過系統級權限,限制第三方軟件與微軟體系軟件的競爭。
寫在最后:
玄道認為,UCPD遠不止一個簡單的“保護驅動” ,其根據地理位置激活不同行為模式的做法,構成了對中國用戶的歧視性監控。而其針對中國軟件廠商的黑名單,則涉嫌利用系統底層權限進行不正當競爭。 更重要的是,其遠程代碼執行機制的存在,在本質上為系統開了一個巨大的“后門”,帶來了潛在的安全風險。
2022年7月至2023年7月,國家互聯網應急中心(CNCERT)監測到美國情報機構利用微軟Exchange郵件系統漏洞,長期攻擊我國軍工企業、航天研究所及生物醫藥公司。
據央視新聞披露,2025年哈爾濱第九屆亞冬會賽事信息系統和黑龍江省內的部分關鍵信息基礎設施遭到境外網絡攻擊超5000萬次。據報道,上述攻擊是美國國家安全局基于微軟Windows操作系統的特定設備發送未知加密字節,疑為喚醒、激活微軟Windows操作系統提前預留的特定后門。
此次微軟被曝暗藏后門監控中國用戶一事,不僅關乎用戶隱私,也讓“國際產品是否絕對安全”再次成為輿論關注焦點。有業內人士指出,微軟正從隱私守護者變成監控幫兇,用戶對其數字工具的信任正在崩塌。
對此,截至發稿,微軟方面暫未回應。(周小白)
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
