9月15日,從事網(wǎng)絡(luò)安全的技術(shù)員“玄道”在個(gè)人公眾號(hào)發(fā)文稱�����,微軟利用其壟斷地位使用UCPD.sys在注冊(cè)表深層隱藏加密數(shù)據(jù)、動(dòng)態(tài)釋放未知程序��,獲取用戶數(shù)據(jù)�����。
此外����,UCPD還內(nèi)置了針對(duì)中國(guó)軟件廠商的攔截機(jī)制�����,通過(guò)數(shù)字簽名黑名單�、進(jìn)程名黑名單����、進(jìn)程路徑黑名單進(jìn)行過(guò)濾,限制第三方軟件與微軟體系軟件的競(jìng)爭(zhēng)���,維護(hù)其市場(chǎng)壟斷地位�����。
繼7月英偉達(dá)H20芯片暗藏“后門”被中國(guó)政府約談后�,微軟被曝暗藏針對(duì)中國(guó)用戶的“后門”����,引發(fā)了公眾對(duì)用戶隱私�、數(shù)據(jù)安全�,乃至國(guó)家安全該如何保障的集體擔(dān)憂和廣泛關(guān)注。
精準(zhǔn)“狙擊”中國(guó)軟件
此次微軟“后門”事件的主角是UCPD.sys(全稱為User Choice Protection Driver��,用戶選擇保護(hù)驅(qū)動(dòng))���,一款“保護(hù)用戶設(shè)置的默認(rèn)應(yīng)用不被第三方軟件隨意修改”的工具。
15日���,玄道通過(guò)逆向工程深入研究發(fā)現(xiàn)�����,UCPD程序暗藏玄機(jī)���,它內(nèi)置了一套黑白名單機(jī)制�。其中黑名單上,令人震驚的是��,這份黑名單中集中出現(xiàn)了騰訊����、搜狗�、360��、金山、2345���、聯(lián)想等數(shù)十家中國(guó)企業(yè)的產(chǎn)品����,涵蓋安全軟件��、輸入法�、瀏覽器等核心應(yīng)用領(lǐng)域���。
這種選擇性屏蔽并非基于技術(shù)缺陷�,而是通過(guò)注冊(cè)表鍵值監(jiān)控實(shí)現(xiàn)的精準(zhǔn)攔截——當(dāng)中國(guó)軟件嘗試修改默認(rèn)應(yīng)用時(shí)����,UCPD會(huì)直接返回“操作失敗”的錯(cuò)誤代碼,而同類功能的國(guó)外軟件卻能順利通過(guò)。
值得注意的是�,微軟的UCPD驅(qū)動(dòng)在不同地區(qū)呈現(xiàn)出不同的狀態(tài)。在歐盟地區(qū)��,受《數(shù)字市場(chǎng)法》(DMA)的要求�����,微軟推出“公平模式”�,用戶可以一鍵切換包括瀏覽器���、PDF閱讀器和Office軟件的默認(rèn)應(yīng)用�����,系統(tǒng)不會(huì)阻攔用戶對(duì)默認(rèn)應(yīng)用的修改��,更不會(huì)自動(dòng)恢復(fù)原有設(shè)置��。
但在歐盟以外��,包括中國(guó)地區(qū)在內(nèi)的用戶��,都會(huì)在切換默認(rèn)應(yīng)用時(shí)�����,被該程序“橫加阻攔”���,甚至?xí)谙到y(tǒng)更新或重啟后自動(dòng)恢復(fù)到系統(tǒng)自帶應(yīng)用����。在中國(guó),微軟的UCPD是以官方系統(tǒng)自帶的身份�,對(duì)國(guó)內(nèi)用戶執(zhí)行了高度隱蔽的后門式操作�����,大多數(shù)國(guó)內(nèi)用戶不僅無(wú)法選擇�����,甚至是不知情的��,這直接加劇了信息泄露的風(fēng)險(xiǎn)。
按照微軟的公開(kāi)說(shuō)明�,UCPD.sys 是一個(gè)“用戶選擇保護(hù)驅(qū)動(dòng)”���,主要用于防止惡意軟件隨意更改默認(rèn)瀏覽器或文件打開(kāi)方式。表面上看���,這應(yīng)該相當(dāng)于一個(gè)“系統(tǒng)設(shè)置守護(hù)神”的功能�,但網(wǎng)上曝光的技術(shù)追蹤顯示這個(gè)組件比想象中更復(fù)雜。
據(jù)玄道披露,UCPD.sys 會(huì)在系統(tǒng)注冊(cè)表的深層路徑寫入一串加密數(shù)據(jù),這些數(shù)據(jù)在常規(guī)工具看來(lái)是無(wú)意義的亂碼,但它其實(shí)會(huì)持續(xù)監(jiān)視注冊(cè)表路徑變更���,微軟可以通過(guò)云端配置系統(tǒng)向該注冊(cè)表項(xiàng)寫入數(shù)據(jù)����,UCPD一旦檢測(cè)到變化,便會(huì)立即讀取并解析其中的內(nèi)容�。
隨后UCPD.sys就會(huì)調(diào)用解密邏輯,把這些數(shù)據(jù)轉(zhuǎn)換成可直接運(yùn)行的可執(zhí)行程序(PE文件)����。這些程序并非用戶主動(dòng)安裝,卻能直接運(yùn)行�,功能未知,甚至可能接收遠(yuǎn)程指令����。換句話說(shuō),它像木馬一樣��,利用注冊(cè)表當(dāng)作倉(cāng)庫(kù)�,在暗中釋放程序。玄道表示�����,這已經(jīng)超出了“保護(hù)默認(rèn)設(shè)置”的范疇�,就是一個(gè)潛伏的后門。
可對(duì)用戶精準(zhǔn)畫(huà)像
據(jù)玄道披露����,更令人不安的是,UCPD.sys對(duì)中國(guó)用戶有額外一層監(jiān)控�。具體表現(xiàn)為,UCPD會(huì)主動(dòng)讀取系統(tǒng)地理位置編碼���。當(dāng)代碼為中國(guó)(45)���、中國(guó)香港(104)、中國(guó)澳門(151)或中國(guó)臺(tái)灣(237)時(shí)�,驅(qū)動(dòng)會(huì)激活額外的監(jiān)控功能并開(kāi)啟日志上報(bào)行為。
而日志內(nèi)容極其詳盡��,包括ProcName(進(jìn)程的完整路徑)���、ModifingModulePublisher(模塊的數(shù)字證書(shū)簽發(fā)者)����、RegKeyPath / PreProgId(試圖修改的注冊(cè)表路徑及修改前后的值)以及UCPDVersion / CloudRuleVersion(驅(qū)動(dòng)和云規(guī)則的版本)��。如果用戶系統(tǒng)開(kāi)啟了“發(fā)送可選診斷數(shù)據(jù)”,這些日志將被加密上傳至微軟服務(wù)器��。
也就是說(shuō)���,這些報(bào)告不僅記錄了你做了什么��,還記錄了你用了誰(shuí)家的工具��,以及系統(tǒng)最終是如何處理的�,這些數(shù)據(jù)匯聚到微軟���,足以清晰還原出中國(guó)用戶的軟件使用習(xí)慣和偏好���。
因此,對(duì)于個(gè)人用戶而言�,應(yīng)用使用習(xí)慣、文檔處理記錄����、企業(yè)軟件選擇等信息,可能早已被系統(tǒng)性采集�。對(duì)于政企與科研機(jī)構(gòu)而言,風(fēng)險(xiǎn)更加嚴(yán)峻��。中國(guó)數(shù)以千萬(wàn)計(jì)的終端運(yùn)行在Windows平臺(tái)上,如果UCPD.sys這樣的組件被惡意利用�����,它可能成為境外攻擊者滲透關(guān)鍵信息基礎(chǔ)設(shè)施的突破口���。
實(shí)際上,這已經(jīng)不是美國(guó)巨頭企業(yè)第一次陷入“后門”風(fēng)波�����。2025年7月���,國(guó)家互聯(lián)網(wǎng)信息辦公室正式約談?dòng)ミ_(dá)公司����,要求其就對(duì)華銷售的H20算力芯片存在的“漏洞后門”安全風(fēng)險(xiǎn)作出說(shuō)明���。
事實(shí)上�,微軟系統(tǒng) “留后門” 并非首次����,過(guò)往案例早已證明其對(duì)數(shù)據(jù)安全的巨大威脅���,且攻擊目標(biāo)多次直指中國(guó)關(guān)鍵領(lǐng)域。
2025 年哈爾濱亞冬會(huì)期間��,美國(guó) NSA(國(guó)家安全局)利用 Windows 系統(tǒng)后門�,對(duì)我國(guó)能源、交通�����、通信等關(guān)鍵設(shè)施發(fā)起 27 萬(wàn)次攻擊���,若成功滲透��,賽事信息系統(tǒng)乃至城市運(yùn)行網(wǎng)絡(luò)都可能癱瘓�����;2024 年曝光的 “BITSLOTH” 后門����,更是能偷偷記錄鍵盤輸入�����、截屏電腦屏幕,其代碼中包含的中文日志�����,直接暴露了 “針對(duì)中國(guó)用戶” 的意圖����;2019 年的 “SockDetour” 后門���,則在服務(wù)器中潛伏兩年半����,通過(guò)劫持系統(tǒng)程序悄悄傳輸數(shù)據(jù)�,成為境外勢(shì)力竊取商業(yè)機(jī)密的 “隱形通道”。
而在更早之前�,2022年7月至2023年7月,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)到美國(guó)情報(bào)機(jī)構(gòu)利用微軟Exchange郵件系統(tǒng)漏洞����,長(zhǎng)期攻擊我國(guó)軍工企業(yè)、航天研究所及生物醫(yī)藥公司���。
截至目前�����,微軟方面尚未對(duì)此事作出正式回應(yīng)���。針對(duì)這一問(wèn)題���,國(guó)內(nèi)多家網(wǎng)絡(luò)安全公司已經(jīng)開(kāi)始進(jìn)行深入分析,并呼吁相關(guān)部門對(duì)此事進(jìn)行調(diào)查����。同時(shí),專家也建議用戶提高警惕��,盡量使用國(guó)產(chǎn)操作系統(tǒng)和軟件�,以減少對(duì)國(guó)外軟件的依賴,從而降低潛在的安全風(fēng)險(xiǎn)�����。
(經(jīng)濟(jì)觀察網(wǎng) 李強(qiáng)/文)
購(gòu)物車
微信注冊(cè)或登錄
