上周末,人们提出了隐私问题,关于Microsoft Edge如何将URL上传到SmartScreen而不首先对其进行散列。经过BleepingComputer的进一步测试后,我们了解到,当您尝试运行SmartScreen时,Windows 10还会将大量有关您的应用程序的敏感信息传输给SmartScreen。
上周末,安全研究员 Matt Weeks 发现Microsoft Edge将访问过的网站的URL发送给SmartScreen。发送此邮件时,此URL未以任何方式进行模糊处理或散列。这引起了人们的担忧,即微软可以追踪您访问的网站。
与SmartScreen通信时,Edge会将一个JSON编码的POST请求发送到https://nav.smartscreen.microsoft.com/windows/browser/edge/service/navigate/4/sync,其中包含有关正在检查的URL的信息。
BleepingComputer能够使用Fiddler确认此行为,该Fiddler显示以下JSON通过安全连接发送给Microsoft。
除了以未散列的形式发送URL之外,Microsoft Edge还出于某种原因还将登录用户的SID或安全标识符发送给Microsoft。SID是在将新帐户添加到操作系统时由Windows创建的唯一标识符。
Twitter主题中的许多用户表示担心以未散列形式发送URL是一种隐私风险,因为它可能允许Microsoft查看用户的浏览历史记录。添加也发送用户的SID只是增加了问题。
应用程序的SmartScreen会暴露更多数据
虽然Weeks的研究主要关注SmartScreen在浏览网页时的运作方式,但在BleepingComputer的测试中,您可以看到SmartScreen在启动可执行文件时也会暴露大量私人信息。
默认情况下,Windows 10将启用一个名为“检查应用程序和文件”的功能,该功能使用Windows Defender SmartScreen在您执行文件之前警告您文件是否为恶意文件。
下载文件并尝试打开文件后,Windows 10将连接到https://checkappexec.microsoft.com/windows/shell/service/beforeExecute/2并发送有关该文件的各种信息。
在我们的测试中,Windows 10传输的一些信息包括计算机上文件的完整路径以及从中下载文件的URL。这些信息都不会以任何方式进行哈希处理。
例如,我上传了一个名为md5sum.exe的小工具到WeTransfer.com。然后我在另一台Windows 10 PC上下载了该文件并尝试执行它。
从下图中可以看出,Windows向SmartScreen服务传输了下载文件的URL以及测试计算机上文件位置的完整路径。
此信息可能会向Microsoft公开大量敏感和私人信息。这包括敏感文件的专用下载URL以及内部Windows系统和网络的文件夹结构。
虽然我们不建议您这样做,但阻止此信息共享的唯一方法是禁用此功能。
Microsoft一直披露网址和文件信息是共享的
在阅读了Weeks的推文之后,许多用户立即对微软发出了侮辱,但现实情况是微软没有做任何他们没有说过的事情。
正如Microsoft Edge开发人员Eric Lawrence所示,Microsoft 早在2005年就已明确表示,在最近的文档中 ,使用SmartScreen时,URL和文件信息将通过安全连接发送给Microsoft。
虽然他们没有偷偷摸摸地做任何事情,但微软可以修改URL的发送方式,以便以与Chrome SafeBrowsing相同的方式对其进行哈希处理。
在这个人们终于意识到他们对数据的控制力以及如何使用它们的世界中,这种权衡可能值得客户放心。
基于Chromium的Microsoft Edge不再发送SID
发送SID是一件奇怪的事情,似乎没有在Microsoft的SmartScreen文档中的任何地方引用。
好消息是,新的基于Chromium的Microsoft Edge不再在SmartScreen请求期间发送SID。
但它确实会继续发送未散列的URL。只有在Microsoft决定开始散列URL时,这种做法才会结束,这可能需要对其许多产品进行大量代码更改。