Материнские платы ASUS Z390 автоматически устанавливают ПО на компьютеры с Windows

     Во время тестирования процессора Intel Core i9-9900K мы обнаружили, что новые материнские платы ASUS Z390 автоматически устанавливают ПО и драйверы на компьютеры с Windows 10 – в том числе при отсутствии подключения к интернету, не уведомляя об этом пользователя и не выдавая последующих подтверждений установки нового ПО. Весь процесс происходит в полностью автономном режиме (т.е. машина не имеет доступа к интернету или к локальной сети). Наша версия Windows 10 базируется на Апрельском обновлении-2018, и в ней нет встроенных драйверов для встроенных сетевых контроллеров.

     При первой же загрузке, когда компьютер не был подключен ни к интернету, ни к LAN, из правого нижнего угла экрана нас поприветствовало специальное окно ASUS с предложениями установить сетевые драйверы и загрузить "Armoury Crate". Нам стало любопытно, и мы просканировали систему на предмет наличия файлов, не входящих в стандартный файловый набор MS Windows. В папке Windows 10 System32 мы нашли три файла с «автографом» ASUS, которые, такое впечатление, появились на нашем жестком диске магическим путем из эфира. Дальнейший поиск показал нам новый и уже запущенный системный сервис под названием "AsusUpdateCheck".



     Эти файлы не могли попасть в компьютер ни при установке Windows, ни из сети, поэтому подозрение могло упасть только на 16-мегабайтный UEFI BIOS материнской платы. Сами файлы – общим объемом около 3,6 МБ – очевидно безвредны и относятся к приложению ASUS под названием "ASUS Armoury Crate". Эта программа скачивает с серверов ASUS последние версии драйверов для «железа» и устанавливает их автоматически, устраивая пользователю маленькую интервенцию. Это очень полезная фишка, поскольку продвигает легкий способ установки сетевых и других драйверов – без использования физических дисковых носителей (что актуально в наше время, когда оптические приводы постепенно выходят из употребления). Углубившись в UEFI BIOS, мы смогли найти довольно невнятную опцию "Download and Install ARMOURY CRATE app", которая, конечно, по умолчанию была включена; и найти ее не так уж просто – она размещается в настройках BIOS в разделе "Tool".



     Прошивка ASUS UEFI открывает Windows 10 доступ к таблице ACPI – так называемой "WPBT" или "Windows Platform Binary Table". OEM-компании используют WPBT как "руткит производителя" для внедрения своего предустановленного ПО. Проще говоря, это скрипт, заставляющий Windows при загрузке копировать исполняемые файлы из BIOS в папку System32 и запускать их – каждый раз, когда вы включаете или перезагружаете компьютер. В справке Microsoft WPBT описывается как «нативное приложение, которое запускается под управлением Windows Session Manager при инициализации операционной системы», что подразумевает – «прежде всех остальных программ и с администраторскими привилегиями»; также говорится, что эта программа полезна для «антивирусного ПО». Все это означает практически полный контроль над всем содержимым компьютера, включая защищенные папки и реестр.



     Приложение ASUS распаковывает еще два файла, регистрирует сервис "AsusUpdateCheck" и запускает его. Как только рабочий стол загружается, рядом с системным меню появляется окно с запросом на установку ПО ASUS Armoury Crate, что напоминает уведомление об установке избыточного ПО (bloatware); все остальное, то есть свою полезную нагрузку, эта программа получает из интернета. Интересно, что она также устанавливает базовый драйвер, необходимый для работы встроенного сетевого контроллера. Это очень приятная фишка, поскольку Windows 10 по умолчанию не поддерживает встроенный Ethernet-контроллер плат Z390. Такой способ записи данных в защищенные области загрузочного диска, возможно, не является чем-то из ряда вон выходящим для компьютеров и ноутбуков, продающихся уже собранными, но что касается самостоятельной сборки, то здесь пользователи в большей степени привыкли сами контролировать свое программно-аппаратное обеспечение, поэтому данное новшество будет воспринято как проявление навязчивости. Если уж применять метод привилегированной записи чего-либо в папку System32 на компьютере пользователя, то было бы уместнее делать это без интервенций – хотя бы через систему UAC, чтобы пользователь в явном виде мог выразить свое согласие. Применение этого метода компанией Lenovo в 2015 г. закончилось грандиозным скандалом. Они автоматически устанавливали руткит, который позволял вносить данные в компьютер пользователя и загружать bloatware.

     Наша материнская плата была выпущена в Евросоюзе, и это программное обеспечение не соответствует требованиям GPDR (генеральный регламент защиты персональных данных), поскольку не предусматривает диалога с пользователем. При таких условиях в ASUS без согласия пользователя могут быть переданы сведения о персональном IP-адресе, возможно также – данные о модели материнской платы, установленном «железе» и системные спецификации.



     Мы немного поэкспериментировали с сервисом. Удаление файлов (и/ или сервиса целиком) приводит к тому, что они восстанавливаются при следующей загрузке. Выбор опции "Cancel" при первом появлении запроса не отключает сервис, который продолжает работать в фоновом режиме, пока вы не отключите его вручную (и включается снова при следующей загрузке). Единственный способ избежать восстановления удаленных файлов – отключить опцию "ASUS Armoury Crate" в UEFI, дезактивировав таким образом таблицу ACPI-WPBT. Выбор опции "Install" с последующим несогласием с условиями лицензионного соглашения не отменяет установку Armoury Crate на ваш компьютер. И даже если вы запустите процедуру удаления Armoury Crate через меню "Programs & Software", сервиса AsusUpdateCheck это не коснется и в списке установленного ПО он тоже не появится.

     В ASUS UEFI у нашей материнской платы опция "Download and Install Armoury Crate App" по умолчанию была включена. Беспечные пользователи, которые сходу доверяют установочной конфигурации UEFI еще до установки операционной системы, увидят окошко Armoury Crate даже в том случае, если на их машинах совсем нет настроенных сетевых подключений. Возможно, наш вопрос удивит многочисленную аудиторию пользователей программного обеспечения ASUS, но разве нечто подобное удобно (во всех смыслах)? И только цены на флэш-память NAND удерживают производителей материнских плат от того, чтобы делать их сразу со встроенными USB-накопителями, которые автоматически установят вам кучу драйверов и заранее проплаченное избыточное ПО?

     Если вопросы приватности вас в данный момент не беспокоят, то в инициативе ASUS можно найти и преимущества, и недостатки. Поскольку вышеупомянутая опция включена по умолчанию, то устанавливать драйверы и системное ПО будет проще, чем когда бы то ни было, так как автоматически активируется еще и сетевой контроллер. Это особенно актуально с учетом того факта, что производители материнских плат продолжают записывать драйверы на DVD, в то время как оптические приводы выходят из моды и людям остается только копировать драйверы на USB-флэшки – просто чтобы запустить сетевую карту. Данное приложение к тому же скачивает с сайта ASUS самые последние (наиболее стабильные) версии драйверов. Самый очевидный недостаток – потенциальная киберуязвимость. Если какой-нибудь из встроенных кодов ASUS обладает уязвимостью, которой можно воспользоваться, то ее в принципе можно будет легко закрыть, но только установив обновления BIOS от ASUS.

     ASUS нужно как можно скорее провести ряд изменений и выпустить обновления UEFI BIOS. Один из вариантов – сделать опцию Armour Create по умолчанию выключенной, чтобы неосмотрительные пользователи не получали эти файлы незаметно для себя. Вместо этого можно объявить ее на домашнем экране UEFI, куда пользователь попадает сразу при заходе в BIOS. Другой вариант – корректно удалять установленные файлы, если пользователь решил удалить Armoury Crate со своего компьютера, и не восстанавливать их при следующей загрузке. Также требуется ввести лицензионное соглашение, соответствующее регламенту GPDR, которое прояснило бы, какие данные собираются, как они обрабатываются и становятся ли доступными третьим лицам. Пока этого не произойдет, ASUS будет частично нести ответственность за любое последующее проникновение на пользовательский компьютер вредоносного ПО, которое для своего устойчивого внедрения будет использовать WPBT.

     Мы убеждены, что инициатива ведущего производителя материнских плат не несет в себе ничего плохого. Ее нужно только немного оптимизировать и сделать более прозрачной для пользователя.