微软被指在Windows系统中暗藏“后门”，专门针对中国用户？

■按：

揭开微软“后门”事件真相！

近日，微软被指在Windows系统中暗藏“后门”一事引发广泛关注。

事件源于9月14日，网络安全研究人员“玄道”在其个人公众号发文，称微软利用其系统垄断地位，使用UCPD.sys在系统注册表深层路径写入加密数据进行监控、接收远程未知任务指令，并收集中国用户数据。此外，UCPD.sys通过黑名单机制，针对性检测并拦截来自中国厂商的软件。

继今年7月英伟达因H20算力芯片存在漏洞后门安全风险被国家互联网信息办公室约谈后，微软此次被曝针对中国用户开“后门”，进一步加剧了公众对个人隐私、数据安全的担忧。

“后门”事件主角UCPD.sys（下称“UCPD”）究竟是什么？微软部署这个驱动的真实目的何在？它会给用户带来哪些具体影响？带着这些疑问，《消费者报道》展开了采访调查。

01.

UCPD驱动“争议满满”

据悉，为应对Hash算法被“破解”，微软于2024年3月推出UCPD驱动程序，它的全称为“User Choice Protection Driver（用户选择保护驱动）”，是Windows系统中内置的一种过滤驱动程序。微软部署UCPD的目的是保护存储默认应用设置的注册表项，阻止未经微软签名的第三方程序通过修改系统注册列表去修改系统默认应用设置。

“以前我们用Windows XP、Windows 7可能有印象，打开一个未知网页或者安装一个软件，电脑上的默认应用设置可能就被第三方修改了，比如浏览器、图片查看器、音频播放器等。UCPD就是为了解决这个用户痛点。”一位不愿具名的软件工程师向《消费者报道》记者解释道，他认为UCPD本质上是一个防止默认应用设置被恶意修改的工具。

不过，UCPD在实际应用过程中遭到了一些质疑。网络安全研究人员“玄道”接受《消费者报道》记者采访时表达了他的三个质疑点。第一是每当微软系统更新，UCPD就会自动触发，将用户更改过的默认设置更改为原来的系统默认设置，有“绑架”用户选择权的嫌疑。其次，是UCPD会对中国地区用户强制开启数据收集与日志上报机制，疑似区别对待。第三是UCPD具备“远程加载与执行”能力，相当于为系统开了一个隐形“后门”，带来潜在安全风险。

对于UCPD限制用户使用某些应用的行为，中国科学技术大学网络空间安全学院教授左晓栋教授向《消费者报道》记者表示，微软方面可能有其特定的判断准则，如果它认为用户使用的软件不安全，就会给用户设置一层安全防护。

值得注意的是，在不同地区的法规要求下，微软的UCPD驱动呈现出不同的工作状态。在欧盟地区，受《数字市场法案》（DMA）的要求，微软推出“公平模式”，用户可以一键切换包括浏览器、PDF阅读器，系统不会阻拦用户对默认应用的修改，更不会自动恢复原有设置。而在在欧盟以外，包括中国地区在内的用户，都会在切换默认应用时，被该程序“横加阻拦”，甚至会在系统更新或重启后自动恢复到系统自带应用。这也意味着，UCPD存在区别对待中国用户的行为，相关话题一度冲上微博热搜。

另外，玄道指出，UCPD存在对中国用户的额外监控，具体表现为，UCPD会主动读取系统地理位置编码，当代码为中国（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，驱动会激活额外的监控功能并开启日志上报行为。而日志内容包括ProcName（进程的完整路径）、ModifingModulePublisher（模块的数字证书签发者）、RegKeyPath / PreProgId（试图修改的注册表路径及修改前后的值）以及UCPDVersion / CloudRuleVersion（驱动和云规则的版本）。如果用户系统开启了“发送可选诊断数据”，这些日志将被加密上传至微软服务器。

根据玄道描述，这些报告不仅记录了你做了什么，还记录了你用了谁家的工具，以及系统最终是如何处理的，这些数据汇聚到微软，足以清晰还原出中国用户的软件使用习惯和偏好。

不过，也有业内人士认为，UCPD作为安全机制，在法规许可的范围内，监测到“未知意图”的注册表变更行为，将“未知意图”的软件的全部关联行为对应的日志上传到云端进行鉴别是正常行为，因为把变化的内容读取出来并解析意图，这是一个很基础的安全机制的工作流程。

02.

微软系统“后门”早有前科

据玄道披露，UCPD会在系统注册表的深层路径写入一串加密数据，这些数据在常规工具看来是无意义的乱码，但它其实会持续监视注册表路径变更，微软可以通过云端配置系统向该注册表项写入数据，UCPD一旦检测到变化，便会立即读取并解析其中的内容。随后UCPD会调用解密逻辑，把这些数据转换成可直接运行的可执行程序（PE文件）。这些程序并非用户主动安装，却能直接运行，功能未知，甚至可能接收远程指令。换句话说，它像木马一样，利用注册表当作仓库，在暗中释放程序。玄道认为，这已经超出了“保护默认设置”的范畴，就是一个潜伏的后门。

对于这次“后门”质疑，左晓栋教授认为，从原理上讲任何软件都是执行一种或几种功能，包括远程功能（在广泛联网的情况下）。区别在于是否告诉用户，由此产生了所谓的“恶意软件”的定义。“这些情况是普遍存在，因为在技术上并无难点。”他向《消费者报道》记者补充道。

另一名网络安全研究人员“曲子龙”认为，系统是微软开发且提供的，微软想要远程加载并执行任务是一件非常容易的事情。UCPD作为公开的安全机制，不能被定义为恶意应用进程。“秘密隐藏在看不到的地方，需要时偷摸拿出来使用才叫‘后门’，公开的应用进程干自己职责所在的事叫‘大门’。”他如是评价道。

虽然UCPD后门事件仍未定性，但不能忽视的是，微软系统“后门”被利用早有前科。过往也有证明其对数据安全构成严重威胁、且攻击目标多次指向中国关键领域的案例。

今年8月，国家互联网应急中心（CNCERT）公布了美情报机构对我国防军工领域实施网络窃密攻击的典型事件。在2022年7月至2023年7月，美情报机构利用微软Exchange邮件系统零日漏洞，对我国一家大型重要军工企业的邮件服务器攻击并控制将近一年。经调查，攻击者控制了该企业的域控服务器，以域控服务器为跳板，控制了内网中50余台重要设备，并在企业的某对外工作专用服务器中植入了建立websocket+SSH隧道的攻击窃密武器，意图实现持久控制。同时，攻击者在该企业网络中构建了多条隐蔽通道进行数据窃取。

此次微软被曝UCPD暗藏后门一事，不仅关系用户隐私，也让“国外产品是否绝对安全”再次成为舆论焦点。截至目前，微软方面尚未对相关事件作出正式回应。

作者：张德荣

微信编辑：vivian

责任编辑：肖道

制图：Judy Chen、Julia

转载授权、投稿、合作请联系消道长：

消道长微信：ccrzhushou