微软被曝在华产品留有后门。

去年，微软曾推出一个名为“UCPD”的Windows驱动程序，能阻止不受信任的第三方软件修改浏览器、文档等默认打开程序。

但专业人士通过逆向工程发现，这个原本被设计为保护用户的程序，却成为了微软最底层的“自留地”。而且，该后门尤其针对中国用户和中国的众多知名软件。

*图源财经网科技微博01「“保护默认设置”变成了木马后门」

微软在2024年3月推出了 UCPD 驱动程序。这个程序全名为“用户选择保护驱动程序”，原本用于防止软件随意更改默认浏览器或文件的打开方式。比如，有人将默认浏览器设置为Chrome，有人习惯用WPS打开文档。

表面来看，这似乎是一个保护用户设置的小“保安”。然而技术追踪显示这个组件远比想象复杂得多。

据安全专家分析，这个小“保安”是一串加密数据，深藏在Windows系统注册表里。一旦检测到用户设置的默认应用有被修改的操作，微软就可以通过云端配置系统向它发送指令，实际是写入数据，然后调用解密逻辑，再把这些数据转换成可直接运行的可执行程序。

它手上有两份名单，一个白名单，一个黑名单。白名单里的放行，黑名单里的就会被阻止、拦截。微软自己的Edge浏览器、Office办公软件，自然都在白名单里。

而当这个“保安”被触发激活时，它还会记录用户（尤其是中国地区用户）的很多操作，比如运行了什么软件、该软件的证书信息、修改了系统哪些设置、在白名单还是黑名单中、以及是否成功还是被拦截等。所有这些细节都被打包成一个模糊名称的日志。一旦用户开启了“发送可选诊断数据”，这些涉及个人隐私和商业机密的信息就会通过加密通道，无声无息地流向微软的服务器。

可怕的是，上述操作的整个过程完全在后台静默进行，用户对此一无所知。

非用户主动安装，能直接运行，功能未知，甚至可能接收远程指令。这显然超出了“保护默认设置”的范畴，其运行逻辑几乎和典型的木马程序如出一辙：利用注册表深层路径隐藏关键数据；满足系统事件后才会释放可执行文件；动态生成，新程序功能不明，却能直接运行；对特定地区用户采集数据并传输……

UCPD 驱动程序和木马的唯一差别在于，木马是陌生的可疑程序，而 UCPD却带着微软官方签名。它拥有最高权限、最深信任度，让安全软件也难以察觉。当一个后门披上了“官方组件”的外衣，它的隐蔽性与危险性更甚于木马。