上周末��,人們提出了隱私問題�,關(guān)于Microsoft Edge如何將URL上傳到SmartScreen而不首先對其進(jìn)行散列。經(jīng)過BleepingComputer的進(jìn)一步測試后���,我們了解到�����,當(dāng)您嘗試運行SmartScreen時���,Windows 10還會將大量有關(guān)您的應(yīng)用程序的敏感信息傳輸給SmartScreen。
上周末�����,安全研究員 Matt Weeks 發(fā)現(xiàn)Microsoft Edge將訪問過的網(wǎng)站的URL發(fā)送給SmartScreen���。發(fā)送此郵件時���,此URL未以任何方式進(jìn)行模糊處理或散列���。這引起了人們的擔(dān)憂,即微軟可以追蹤您訪問的網(wǎng)站����。
與SmartScreen通信時,Edge會將一個JSON編碼的POST請求發(fā)送到https://nav.smartscreen.microsoft.com/windows/browser/edge/service/navigate/4/sync�����,其中包含有關(guān)正在檢查的URL的信息����。
BleepingComputer能夠使用Fiddler確認(rèn)此行為,該Fiddler顯示以下JSON通過安全連接發(fā)送給Microsoft�。
除了以未散列的形式發(fā)送URL之外,Microsoft Edge還出于某種原因還將登錄用戶的SID或安全標(biāo)識符發(fā)送給Microsoft����。SID是在將新帳戶添加到操作系統(tǒng)時由Windows創(chuàng)建的唯一標(biāo)識符。
Twitter主題中的許多用戶表示擔(dān)心以未散列形式發(fā)送URL是一種隱私風(fēng)險����,因為它可能允許Microsoft查看用戶的瀏覽歷史記錄。添加也發(fā)送用戶的SID只是增加了問題��。
應(yīng)用程序的SmartScreen會暴露更多數(shù)據(jù)
雖然Weeks的研究主要關(guān)注SmartScreen在瀏覽網(wǎng)頁時的運作方式���,但在BleepingComputer的測試中�,您可以看到SmartScreen在啟動可執(zhí)行文件時也會暴露大量私人信息����。
默認(rèn)情況下,Windows 10將啟用一個名為“檢查應(yīng)用程序和文件”的功能���,該功能使用Windows Defender SmartScreen在您執(zhí)行文件之前警告您文件是否為惡意文件�。
下載文件并嘗試打開文件后���,Windows 10將連接到https://checkappexec.microsoft.com/windows/shell/service/beforeExecute/2并發(fā)送有關(guān)該文件的各種信息�。
在我們的測試中��,Windows 10傳輸?shù)囊恍┬畔ㄓ嬎銠C(jī)上文件的完整路徑以及從中下載文件的URL���。這些信息都不會以任何方式進(jìn)行哈希處理�。
例如,我上傳了一個名為md5sum.exe的小工具到WeTransfer.com����。然后我在另一臺Windows 10 PC上下載了該文件并嘗試執(zhí)行它。
從下圖中可以看出����,Windows向SmartScreen服務(wù)傳輸了下載文件的URL以及測試計算機(jī)上文件位置的完整路徑。
此信息可能會向Microsoft公開大量敏感和私人信息�����。這包括敏感文件的專用下載URL以及內(nèi)部Windows系統(tǒng)和網(wǎng)絡(luò)的文件夾結(jié)構(gòu)���。
雖然我們不建議您這樣做��,但阻止此信息共享的唯一方法是禁用此功能����。
Microsoft一直披露網(wǎng)址和文件信息是共享的
在閱讀了Weeks的推文之后��,許多用戶立即對微軟發(fā)出了侮辱��,但現(xiàn)實情況是微軟沒有做任何他們沒有說過的事情�。
正如Microsoft Edge開發(fā)人員Eric Lawrence所示���,Microsoft 早在2005年就已明確表示,在最近的文檔中 ����,使用SmartScreen時����,URL和文件信息將通過安全連接發(fā)送給Microsoft。
雖然他們沒有偷偷摸摸地做任何事情���,但微軟可以修改URL的發(fā)送方式�����,以便以與Chrome SafeBrowsing相同的方式對其進(jìn)行哈希處理��。
在這個人們終于意識到他們對數(shù)據(jù)的控制力以及如何使用它們的世界中�����,這種權(quán)衡可能值得客戶放心�����。
基于Chromium的Microsoft Edge不再發(fā)送SID
發(fā)送SID是一件奇怪的事情����,似乎沒有在Microsoft的SmartScreen文檔中的任何地方引用。
好消息是,新的基于Chromium的Microsoft Edge不再在SmartScreen請求期間發(fā)送SID��。
但它確實會繼續(xù)發(fā)送未散列的URL��。只有在Microsoft決定開始散列URL時�����,這種做法才會結(jié)束����,這可能需要對其許多產(chǎn)品進(jìn)行大量代碼更改��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
