約束どおり、8月上旬に、Microsoftは、最近最も議論の多いオペレーティングシステムであるWindows 8のリリースプレビューのバージョンをほぼ無料でダウンロードしました。研究者およびNadim Kobeissiを含む関心のある研究者は、 8月1日、彼は、あまり知られていないWindows 8ユーティリティの1つが、インストールされているすべてのMicrosoftアプリケーションに関する情報を送信するというデータを公開しました 。 このようなユーザーデータの収集は、司法だけでなく、たとえば状況が不安定な地域での政治など、起訴される可能性があります。
しばらくの間、Nadimは彼のコンピューターの1つで、Windows 8のRTMバージョンを使用し、人気のあるオペレーティングシステムの代表的な製品の優れた速度と機能設計に注目しました。 しかし、セキュリティの問題を研究するとき、彼に興味を持った問題が明らかになりました。
Windows 8には、Windows SmartScreenと呼ばれる機能があり、デフォルトで有効になっています。 この機能は、インストールされたプログラムのセキュリティステータスについて警告するために、ユーザーがインストールしようとするすべてのアプリケーションを監視することを目的としています。
作業スキームは単純です。たとえば、ブラウザ、画像エディター、テキストエディターなどのソフトウェアパッケージのインストーラーを開いた後、Windows SmartScreenはアプリケーションに関する特定の情報を収集し、Microsoftサーバーにデータを送信します。 アプリケーションが必要な証明書で署名されていないという応答を受け取った場合、ユーザーはインストーラーを実行するか無視するかを決定します。 インターネット接続がない場合、アプリケーションを検証できないことを示す警告が表示されます。
アクションのプライバシーの侵害としてプログラムをインストールしようとする試みをデフォルトで追跡するという直接的な問題に加えて、政府機関や大規模な著作権所有者の法定代理人にデータを提供するようMicrosoftに圧力がかかる可能性に注目する価値があります。
送信される情報の流れも傍受される可能性があります。 そのため、ユーザーがインストールするプログラムを知ることができます。 Nadimは、SmartScreenがHTTPSを介してapprep.smartscreen.microsoft.comサーバーに接続し、Microsoft IIS 7.5サーバーによって要求が処理されることに気付きました。
Microsoft側のサーバーは、ご存知のように、SSLv2で暗号化された要求が受け入れられるように構成されています。 Microsoft Secure Server AuthorityのGTE CyberTrustグローバルルートによって提供される暗号化証明書。 以前、デジタル認証局モデルはその脆弱性を証明していました。
Microsoftによると 、SmartScreenはインストーラーとそのデジタル署名(ある場合)のハッシュのみを送信します。 ただし、必要に応じて、特定の人が特定のプログラムをインストールしようとしたことを確認するには、外部IPアドレスを知るだけで十分です。 別の研究者は、Nadimのパニックの記録を調査し、ファイル名も送信されたことを発見しました。
<Rq V="1.2">
<RqT>0</RqT>
<App>
<FName>U2FtZUdhbWUuZXhl</FName>
<FHash>d3ff5939726c9f8fa6e514fb65eb470a1f9ec7a65b2706732
a03749226c2520</FHash>
<Sig>0</Sig>
<Sz>45056</Sz>
<M>1</M>
<SR>100</SR>
</App>
<ID>0F98AD9C-D498-42B3-B421-E6C97A8E61E7</ID>
<G>B68802CA-B396-4773-8FD9-EEECA4DE65D9</G>
<L>ZW4tVVM=</L>
<OS>6.2.9200.0.0</OS>
<I>OS4xMC45MjAwLjE2Mzg0</I>
<C>10.00.9200.16384</C>
<DJ>2</DJ>
</Rq>
FName — base64 - , FHash — SHA-256 .
SmartScreen , .
SmartScreen, System and Security, Action Center Windows SmartScreen.
, , , IP-. , : Microsoft , , Metro. , , SmartScreen .