O Microsoft Edge που έρχεται προεγκατεστημένος στα Windows 10 στέλνει τις πλήρεις διευθύνσεις URL των ιστοσελίδων που επισκέπτεστε στη Microsoft, σύμφωνα με έναν ερευνητή ασφαλείας.
Τα δεδομένα που αποστέλλει ο browser της Microsoft δεν συμπεριλαμβάνουν μόνο τις πληροφορίες κάθε σελίδας που επισκέπτεστε, αλλά και το SID, το οποίο σημαίνει αναγνωριστικό ασφαλείας, σύμφωνα με μια δημοσίευση του ερευνητή Matt Weeks στο Twitter.
Ο Edge αποστέλλει προφανώς την πλήρη διεύθυνση URL των σελίδων που επισκέπτεστε (εκτός από ορισμένους δημοφιλείς ιστότοπους) στη Microsoft. Και, σε αντίθεση με την τεκμηρίωση, συμπεριλαμβάνει το αναγνωριστικό λογαριασμού σας που δεν είναι ανώνυμο (SID).
Η Microsoft ως γνωστό χρησιμοποιεί μια λειτουργία που ονομάζεται SmartScreen για να προστατεύσει τους χρήστες από δυνητικά επικίνδυνους ιστότοπους κάθε φορά που φορτώνονται στο πρόγραμμα περιήγησης.
Το SmartScreen λειτουργεί συγκρίνοντας την διεύθυνση URL με μια λίστα συνδέσεων που διαθέτει η Microsoft, οπότε η σελίδα που επισκέπτεστε υποβάλλεται σε ένα διακομιστή της Microsoft για να προσδιορίσει αν επιτραπεί η πρόσβαση στον ιστότοπο ή όχι.
Ωστόσο, ο Weeks ανακάλυψε ότι οι πληροφορίες που αποστέλλονται, χωρίς να είναι κρυπτογραφημένες, συμπεριλαμβάνουν και το SID.
Η Microsoft όμως αναφέρει τα παρακάτω για το SID στην επίσημη τεκμηρίωση της λειτουργίας:
Το αναγνωριστικό ασφαλείας (SID) χρησιμοποιείται για την μοναδική αναγνώριση μιας αρχής ασφαλείας ή μιας ομάδας ασφαλείας. Οι αρχές ασφαλείας μπορούν να αντιπροσωπεύουν οποιεσδήποτε άτομο που μπορεί να υπάρχει σε ένα λειτουργικό σύστημα, όπως ένας λογαριασμός χρήστη, ένας λογαριασμός υπολογιστή ή ένα link ή μια διεργασία που εκτελείται στο πλαίσιο ασφαλείας ενός λογαριασμού χρήστη ή ενός υπολογιστή.
Θεωρητικά, με τη συμπερίληψη του SID στην αναφορά, η Microsoft μπορεί να πει με ακρίβεια ποιος είναι αυτός που επισκέπτεται μια ιστοσελίδα, όταν φυσικά το SmartScreen είναι ενεργοποιημένο στα Windows 10.
Από προεπιλογή, το SmartScreen για τον Microsoft Edge χρησιμοποιεί στη ρύθμιση “Warn” στις συσκευές με Windows 10.
Ωστόσο, η Microsoft αναφέρει:
Κατά τον έλεγχο ενός αρχείου, τα δεδομένα για αυτό το αρχείο αποστέλλονται στη Microsoft. Στα δεδομένα συμπεριλαμβάνονται το όνομα του αρχείου, το hash των περιεχομένων του αρχείου, της τοποθεσίας λήψης και των ψηφιακών πιστοποιητικών του αρχείου.
Ο ερευνητής, αναφέρει ότι αυτό το σύστημα θα μπορούσε να βελτιωθεί χρησιμοποιώντας μια προσέγγιση παρόμοια με εκείνη που χρησιμοποιούν άλλα προγράμματα περιήγησης.
Ο Firefox, ο Chrome και ο Safari δεν στέλνουν το ιστορικό περιήγησής σας στην εταιρεία, όπως το κάνει ο Edge. Συγκρίνουν τα προθέματα hash των διευθύνσεων URL των 4 byte με ενσωματωμένες λίστες κακόβουλων διευθύνσεων.
Η Microsoft δεν έχει τοποθετηθεί ακόμα με κάποια επίσημη δήλωση.
___________________
- Privacy το ιστορικό μιας χαμένης υπόθεσης
- FaceApp όταν ο ηλίθιος κοίταζε το δάχτυλο
- Windows 10 1809 αθροιστική ενημέρωση KB4505658
