技术专家发现,微软Windows系统中的UCPD.sys驱动以“保护用户选择”之名,行“数据陷阱”之实,仅针对中国用户强制开启数据收集与上报机制。
近日,网络安全领域掀起波澜。技术专家“玄道”及其团队通过逆向工程发现,微软Windows系统中的UCPD.sys驱动(User Choice Protection Driver)并非如其宣称的那样简单保护用户设置,而是在执行高度隐蔽的后门式操作。
该驱动不仅强制重置中国用户的默认应用设置,还会收集用户数据并针对性地限制中国安全软件的运行。
01 后门操作:隐形陷阱与数据收集
UCPD.sys驱动表面上是为了防止恶意软件随意更改默认浏览器或文件打开方式,但其实际行为远超官方描述。
该组件通过深层注册表写入加密数据,限制非微软签名软件的操作权限。当用户手动修改默认浏览器、PDF阅读器等设置后,系统更新或重启时配置会被强制“复原”。
更令人担忧的是,UCPD.sys内置区域检测逻辑。当系统检测到用户位于中国大陆、香港、澳门或台湾地区时,会自动激活数据收集与上报机制。
而欧盟用户则完全不受该机制影响,甚至能依据《数字市场法》(DMA)自由卸载Edge、禁用必应搜索,享受“公平模式”。
02 针对性限制:国产软件被列入“黑名单”
微软的“禁止名单”几乎覆盖了国内主流安全软件,如奇虎360、金山等均被精准标记。当这些安全软件尝试修改系统默认设置或拦截可疑操作时,UCPD.sys就会弹出“拒绝访问”提示。
这种系统性打压导致国内用户陷入“双重困境”:一方面,微软通过“后门”不断渗透设备,收集浏览记录、文档内容、软件使用习惯等数据;另一方面,本应守护安全的国产安全软件被限制功能。
03 历史渊源:系统后门并非首次
微软系统“留后门”并非首次。2025年哈尔滨亚冬会期间,美国NSA(国家安全局)利用Windows系统后门,对中国能源、交通、通信等关键设施发起27万次攻击。
2024年曝光的“BITSLOTH”后门,能偷偷记录键盘输入、截屏电脑屏幕,其代码中包含的中文日志,直接暴露了“针对中国用户”的意图。
2019年的“SockDetour”后门,则在服务器中潜伏两年半,通过劫持系统程序悄悄传输数据,成为境外势力窃取商业机密的“隐形通道”。
04 法律视角:涉嫌违法与维权途径
北京市道可特律师事务所高级合伙人林蔚律师表示,如上述指控为真,微软不仅涉嫌侵犯个人用户隐私,还可能存在滥用市场支配地位、不正当竞争等违法行为。
林蔚指出,个人用户既可以向国家网信办等监管部门进行投诉举报,也可以采取《个人信息保护法》第七十条中规定的公益诉讼制度。
对于企业而言,相关企业可考虑向反垄断执法机构即国家市场监督管理总局进行举报,但需要收集微软滥用市场支配地位的证据。
截至发稿,微软尚未对这些指控做出正式回应。然而,已有消息称国家网络安全相关部门介入调查该事件。
中国数以千万计的终端运行在Windows平台上。如果UCPD.sys这样的组件被恶意利用,它可能成为境外攻击者渗透关键信息基础设施的突破口。
从个人隐私到国家核心信息,都面临被“搬运”的风险。
