Hyaika Blog

Penguin is all you need

技术

你插了一根 HDMI 线,然后 Windows 帮你装上了 McAfee

你插了一根 HDMI 线,然后 Windows 帮你装上了 McAfee

目录

  • 一个 907 分的故事:HDMI 线变成了软件安装器
  • 社区反应:有人笑了,有人怒了,有人拔了 HDMI
  • 同一周,你的摄像头也在「说漏嘴」
  • 所以,信任的钢丝绳是怎么断的

一个 907 分的故事:HDMI 线变成了软件安装器

7 月 17 日,VideoCardz 爆了一条消息——LG 显示器会通过 Windows Update 静默安装软件。不是驱动,不是固件更新,是 McAfee。是广告软件。是你没有点过同意的东西。

触发条件?插上 HDMI 线就行。

Windows 有一个「设备元数据自动下载」机制——当操作系统识别到新硬件,它会从更新服务器获取厂商提供的配套软件包。这个机制本意是好的:你插了一个新鼠标,系统自动装上驱动和配套控制面板。但 LG 在这个管道里塞了 McAfee 和一堆促销软件,而且没有弹窗,没有确认,没有「是否安装」。

Gamers Nexus 做过视频报道。LinkedIn 上一年前就有人指出过。但直到 7 月 17 日,这条消息才真正炸开——HN 首页 907 分,69 条评论,几乎一边倒的愤怒。

更讽刺的是,HN 评论的几种反应暴露了这件事的层级有多深:

「McAfee 应该被归类为病毒。」—— discordance

「你的操作系统在你不知情的情况下安装了恶意软件。」—— devttyeu

「当你在个人设备上使用 Windows 时,你已经在大声宣告你的同意不重要了。」—— anonym29

后两条放在一起看很有意思。第一条在说「LG 做了坏事」。第二条在说「你的 OS 本来就不值得信任」。两条都对,但两条指向不同的责任方。

社区反应:有人笑了,有人怒了,有人拔了 HDMI

HN 69 条评论的分层很有意思:

技术层:有人立刻给出了组策略的阻断方法(「设备安装→禁止自动下载关联应用」)。有人指出这不是 LG 独有的——Razer、Logitech、NVIDIA 的驱动包都走这条通道,只是 LG 做到了「静默」这个程度。

愤怒层:大量的「LG 黑名单」声明。有人把 LG 和 EA、动视暴雪并列。有人说「最后两台显示器都是 LG 的,但下一台不会再买了」。有人注意到新闻出来后 LG 显示器价格暴跌了一半——「Linux 用户的福音」。

讽刺层:最精彩的一条——「我们终于搞定了软件自动安装,只不过 payload 是 McAfee,安装器是一条 HDMI 线。」

政治层:有人指出如果这件事发生在欧盟,GDPR 可能管得了——但前提是软件确实在上传数据。如果只是「装了个广告软件但不上传」,GDPR 的抓力就弱了。文章本身没有说 McAfee 在上传什么,但 HN 的评论告诉我们一件事:用户已经默认「它会」。

文化层:一位韩国开发者评论说,在韩国几乎所有设备都跟 Windows 绑定——C++、C# 是主流,应用层开发是绝大多数人的工作,底层视角非常稀缺。这个视角解释了为什么有些市场的用户「无法选择」——不是技术问题,是生态问题。

同一周,你的摄像头也在「说漏嘴」

同一周的 HN 首页,还有另一条硬件安全新闻:TP-Link Kasa 摄像头被曝通过未加密的 UDP 广播泄露家庭 GPS 坐标,已持续六年。

212 分,10 条评论。没有 LG 那条炸,但危险程度可能更高。

研究者的披露时间线让人头皮发麻:六个月的协调披露 → 厂商复现失败(说漏洞不存在)→ 发布 beta 补丁 → 补丁直接砖了测试设备 → 恢复出厂设不会清除已泄露的配置 → 结论:CVE-2026-XXXX 和 CVE-2026-XXXX,两个漏洞,一个对厂商毫无作用的披露流程。

HN 评论里有人指出问题远不止这一家:「大量设备持续通过未加密协议向不受厂商控制的云 IP 发送实时位置数据。」另一个评论补充了有意思的解决方案——已经有开源固件(thingino.com)可以替换 TP-Link 摄像头的原厂系统。

两条新闻放在一起看,你会发现一个模式:硬件厂商的软件开发能力,全面落后于它们的硬件出货量。

LG 是显示器行业的头部品牌,TP-Link 是网络设备出货量最大的公司之一——但它们对「往设备里塞了什么软件」的理解,停留在「只要能跑就行」的阶段。LG 的 Windows 驱动包变成了广告投放渠道,TP-Link 的摄像头固件在 GPS 坐标上裸奔了六年,没有任何人发现。

信任的钢丝绳是怎么断的

HN 上有一条评论特别冷静:

「这种事情会一直发生,直到有隐私法让它变得非法。GN 的视频重点讨论了同意——但即使今天法律上需要同意,公司也只会丢给你一个 1.8 PiB 的 ToS,然后说『你读了就算同意了』。」

这不是一个「某个坏公司」的问题。LG 不是唯一往驱动包里塞垃圾的厂商,Windows 不是唯一一个让 OEM 往系统里「预装」的平台——只是它们的实现方式恰好被发现了。

你会注意到一些评论里隐隐透出的疲惫感。不是愤怒,是疲惫。当「你的显示器会安装广告软件」已经不足以让人惊讶,当「摄像头在直播你的 GPS」只是当天的第二条 HN 热门,当「AI 写的代码让我心里没底」成为 V2EX 上一个 39 条回复的日常话题——信任不是被一次事件击碎的,它是被几千次微小的、无人注意的越界行为慢慢磨断的。

有位 HN 用户说:「我厌倦了这种事。LG 在我的黑名单上了。我改变不了它们,改变不了政策,但我可以选择不买。」

这句话的无奈在于:在一个消费者能做的所有事情里,「不买」是最后一件。而即使你选择了不买,也改变不了成千上万台已经出厂的设备在背景里继续运行着你从未同意安装的软件。

分享:

评论(0)

暂无评论,来写第一条吧~

发表评论