微軟被指在Windows系統中暗藏「后門」，專門針對中國用户？

近日，微軟被指在Windows系統中暗藏「后門」一事引發廣泛關注。

事件源於9月14日，網絡安全研究人員「玄道」在其個人公眾號發文，稱微軟利用其系統壟斷地位，使用UCPD.sys在系統註冊表深層路徑寫入加密數據進行監控、接收遠程未知任務指令，並收集中國用戶數據。此外，UCPD.sys通過黑名單機制，針對性檢測並攔截來自中國廠商的軟件。

繼今年7月英偉達因H20算力芯片存在漏洞后門安全風險被國家互聯網信息辦公室約談后，微軟此次被曝針對中國用户開「后門」，進一步加劇了公眾對個人隱私、數據安全的擔憂。

「后門」事件主角UCPD.sys（下稱「UCPD」）究竟是什麼？微軟部署這個驅動的真實目的何在？它會給用户帶來哪些具體影響？帶着這些疑問，《消費者報道》展開了採訪調查。

 01. 

UCPD驅動「爭議滿滿」

據悉，為應對Hash算法被「破解」，微軟於2024年3月推出UCPD驅動程序，它的全稱為「User Choice Protection Driver（用户選擇保護驅動）」，是Windows系統中內置的一種過濾驅動程序。微軟部署UCPD的目的是保護存儲默認應用設置的註冊表項，阻止未經微軟簽名的第三方程序通過修改系統註冊列表去修改系統默認應用設置。

「以前我們用Windows XP、Windows 7可能有印象，打開一個未知網頁或者安裝一個軟件，電腦上的默認應用設置可能就被第三方修改了，比如瀏覽器、圖片查看器、音頻播放器等。UCPD就是爲了解決這個用户痛點。」一位不願具名的軟件工程師向《消費者報道》記者解釋道，他認為UCPD本質上是一個防止默認應用設置被惡意修改的工具。

不過，UCPD在實際應用過程中遭到了一些質疑。網絡安全研究人員「玄道」接受《消費者報道》記者採訪時表達了他的三個質疑點。第一是每當微軟系統更新，UCPD就會自動觸發，將用户更改過的默認設置更改為原來的系統默認設置，有「綁架」用户選擇權的嫌疑。其次，是UCPD會對中國地區用户強制開啟數據收集與日誌上報機制，疑似區別對待。第三是UCPD具備「遠程加載與執行」能力，相當於為系統開了一個隱形「后門」，帶來潛在安全風險。

對於UCPD限制用户使用某些應用的行為，中國科學技術大學網絡空間安全學院教授左曉棟教授向《消費者報道》記者表示，微軟方面可能有其特定的判斷準則，如果它認為用户使用的軟件不安全，就會給用户設置一層安全防護。

值得注意的是，在不同地區的法規要求下，微軟的UCPD驅動呈現出不同的工作狀態。在歐盟地區，受《數字市場法案》（DMA）的要求，微軟推出「公平模式」，用户可以一鍵切換包括瀏覽器、PDF閲讀器，系統不會阻攔用户對默認應用的修改，更不會自動恢復原有設置。而在在歐盟以外，包括中國地區在內的用户，都會在切換默認應用時，被該程序「橫加阻攔」，甚至會在系統更新或重啟后自動恢復到系統自帶應用。這也意味着，UCPD存在區別對待中國用户的行為，相關話題一度衝上微博熱搜。

另外，玄道指出，UCPD存在對中國用户的額外監控，具體表現為，UCPD會主動讀取系統地理位置編碼，當代碼為中國（45）、中國香港（104）、中國澳門（151）或中國臺灣（237）時，驅動會激活額外的監控功能並開啟日誌上報行為。而日誌內容包括ProcName（進程的完整路徑）、ModifingModulePublisher（模塊的數字證書籤發者）、RegKeyPath / PreProgId（試圖修改的註冊表路徑及修改前后的值）以及UCPDVersion / CloudRuleVersion（驅動和雲規則的版本）。如果用户系統開啟了「發送可選診斷數據」，這些日誌將被加密上傳至微軟服務器。

根據玄道描述，這些報告不僅記錄了你做了什麼，還記錄了你用了誰家的工具，以及系統最終是如何處理的，這些數據匯聚到微軟，足以清晰還原出中國用户的軟件使用習慣和偏好。

不過，也有業內人士認為，UCPD作為安全機制，在法規許可的範圍內，監測到「未知意圖」的註冊表變更行為，將「未知意圖」的軟件的全部關聯行為對應的日誌上傳到雲端進行鑑別是正常行為，因為把變化的內容讀取出來並解析意圖，這是一個很基礎的安全機制的工作流程。

 02. 

微軟系統「后門」早有前科

據玄道披露，UCPD會在系統註冊表的深層路徑寫入一串加密數據，這些數據在常規工具看來是無意義的亂碼，但它其實會持續監視註冊表路徑變更，微軟可以通過雲端配置系統向該註冊表項寫入數據，UCPD一旦檢測到變化，便會立即讀取並解析其中的內容。隨后UCPD會調用解密邏輯，把這些數據轉換成可直接運行的可執行程序（PE文件）。這些程序並非用户主動安裝，卻能直接運行，功能未知，甚至可能接收遠程指令。換句話説，它像木馬一樣，利用註冊表當作倉庫，在暗中釋放程序。玄道認為，這已經超出了「保護默認設置」的範疇，就是一個潛伏的后門。

對於這次「后門」質疑，左曉棟教授認為，從原理上講任何軟件都是執行一種或幾種功能，包括遠程功能（在廣泛聯網的情況下）。區別在於是否告訴用户，由此產生了所謂的「惡意軟件」的定義。「這些情況是普遍存在，因為在技術上並無難點。」他向《消費者報道》記者補充道。

另一名網絡安全研究人員「曲子龍」認為，系統是微軟開發且提供的，微軟想要遠程加載並執行任務是一件非常容易的事情。UCPD作為公開的安全機制，不能被定義為惡意應用進程。「祕密隱藏在看不到的地方，需要時偷摸拿出來使用才叫‘后門’，公開的應用進程干自己職責所在的事叫‘大門’。」他如是評價道。

雖然UCPD后門事件仍未定性，但不能忽視的是，微軟系統「后門」被利用早有前科。過往也有證明其對數據安全構成嚴重威脅、且攻擊目標多次指向中國關鍵領域的案例。

今年8月，國家互聯網應急中心（CNCERT）公佈了美情報機構對我國防軍工領域實施網絡竊密攻擊的典型事件。在2022年7月至2023年7月，美情報機構利用微軟Exchange郵件系統零日漏洞，對我國一家大型重要軍工企業的郵件服務器攻擊並控制將近一年。經調查，攻擊者控制了該企業的域控服務器，以域控服務器為跳板，控制了內網中50余台重要設備，並在企業的某對外工作專用服務器中植入了建立websocket+SSH隧道的攻擊竊密武器，意圖實現持久控制。同時，攻擊者在該企業網絡中構建了多條隱蔽通道進行數據竊取。

此次微軟被曝UCPD暗藏后門一事，不僅關係用户隱私，也讓「國外產品是否絕對安全」再次成為輿論焦點。截至目前，微軟方面尚未對相關事件作出正式迴應。