安全专家曝微软暗藏后门监控中国用户

【TechWeb】9月15日消息，英伟达H20芯片后门风波尚未远去，如今微软又被曝出在华产品留有后门。

此次微软后门事件的主角是UCPD.sys（全称为User Choice Protection Driver，用户选择保护驱动），一款“保护用户设置的默认应用不被第三方软件随意修改”的工具。但用户发现，该程序背后藏有猫腻。

从事网络安全的技术员玄道在个人公众号发文称，UCPD.sys在注册表深层隐藏加密数据、动态释放未知程序，且仅对中国地区用户强制开启数据收集机制。此外，还精准屏蔽360、腾讯、金山等中国安全及办公软件，引导用户使用微软相关软件 。

反映在用户层面，就是你将微软默认的浏览器或PDF阅读器变更为国产软件时，会被UCPD.sys“横加阻拦”，甚至在系统更新或电脑重启后，又重新跳回到微软默认的应用。

这一操作引发了人们对微软不正当竞争的质疑，更令人担忧的是，用户隐私、数据安全该如何保障。

微软被曝区别对待中国用户 偷偷上报用户数据

按照微软的公开说明，UCPD.sys 是一个“用户选择保护驱动”，主要用于防止恶意软件随意更改默认浏览器或文件打开方式。表面上看，这应该相当于一个“系统设置守护神”的功能，但网上曝光的技术追踪显示这个组件比想象中更复杂。

据玄道披露，UCPD.sys 会在系统注册表的深层路径写入一串加密数据，这些数据在常规工具看来是无意义的乱码，但它其实会持续监视注册表路径变更，微软可以通过云端配置系统向该注册表项写入数据，UCPD一旦检测到变化，便会立即读取并解析其中的内容。

随后UCPD.sys就会调用解密逻辑，把这些数据转换成可直接运行的可执行程序（PE 文件）。这些程序并非用户主动安装，却能直接运行，功能未知，甚至可能接收远程指令。

(线程函数：循环监控指定注册表项，一旦变化即读取并处理键值）

换句话说，它像木马一样，利用注册表当作仓库，在暗中释放程序。这已经超出了“保护默认设置”的范畴，就是一个潜伏的后门。

更令人不安的是，UCPD.sys对中国用户有额外一层监控。具体表现为，UCPD会主动读取系统地理位置编码。当代码为中国（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，驱动会激活额外的监控功能并开启日志上报行为。

而日志内容极其详尽，包括ProcName（进程的完整路径）、ModifingModulePublisher（模块的数字证书签发者）、RegKeyPath / PreProgId（试图修改的注册表路径及修改前后的值）以及UCPDVersion / CloudRuleVersion（驱动和云规则的版本）。

如果用户系统开启了“发送可选诊断数据”，这些日志将被加密上传至微软服务器。

也就是说，这些报告不仅记录了你做了什么，还记录了你用了谁家的工具，以及系统最终是如何处理的。这些数据汇聚到微软，足以清晰还原出中国用户的软件使用习惯和偏好。

值得一提的是，在其他地区，这些功能是关闭的。比如，在欧盟地区，受《数字市场法》（DMA）的要求，微软不得不推出“公平模式”。用户可以一键切换包括浏览器、PDF阅读器和Office软件的默认应用。而且系统不会阻拦用户对默认应用的修改，更不会自动恢复原有设置。

还有这些中国软件被微软针对性限制

除了中国用户被区别对待之外，一些中国软件也被微软“针对性限制”。

在UCPD.sys所谓的“保护机制”名单中，360、腾讯、联想、WPS、搜狗、2345等国内用户高频使用的软件均被纳入限制范围，几乎覆盖了日常办公、安全防护、工具应用等核心领域。

玄道指出，UCPD内置了针对中国软件厂商的拦截机制，通过三重黑名单进行过滤：

1.数字签名黑名单：直接检查程序数字证书的发行者，只要是名单上的中国厂商（如360、腾讯、金山等），其操作一律被阻止。

2.进程名黑名单：检查运行中的进程名是否匹配黑名单。

3. 进程路径黑名单：检查程序是否安装在这些厂商的常见目录下。

微软宣称这是“守护用户选择”，防止“恶意修改设置”，实际上则被认为是通过系统级权限，限制第三方软件与微软体系软件的竞争。

玄道认为，UCPD远不止一个简单的“保护驱动” ，其根据地理位置激活不同行为模式的做法，构成了对中国用户的歧视性监控。而其针对中国软件厂商的黑名单，则涉嫌利用系统底层权限进行不正当竞争。 更重要的是，其远程代码执行机制的存在，在本质上为系统开了一个巨大的“后门”，带来了潜在的安全风险。

2022年7月至2023年7月，国家互联网应急中心（CNCERT）监测到美国情报机构利用微软Exchange邮件系统漏洞，长期攻击我国军工企业、航天研究所及生物医药公司。

据央视新闻披露，2025年哈尔滨第九届亚冬会赛事信息系统和黑龙江省内的部分关键信息基础设施遭到境外网络攻击超5000万次。据报道，上述攻击是美国国家安全局基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

此次微软被曝暗藏后门监控中国用户一事，不仅关乎用户隐私，也让“国际产品是否绝对安全”再次成为舆论关注焦点。有业内人士指出，微软正从隐私守护者变成监控帮凶，用户对其数字工具的信任正在崩塌。

对此，截至发稿，微软方面暂未回应。（周小白）