Программист Надим Кобейси заявил, что обнаружил серьезное нарушение неприкосновенности пользовательских данных в Windows 8. Операционная система Windows 8 отправляет на сервер Microsoft информацию о каждом приложении, устанавливаемом на ПК. Теоретически это позволяет, например, уличить пользователя в использовании пиратского ПО.
Потенциально шпионской программист считает программу Windows SmartScreen, предназначенную для защиты от вирусов и интегрированую в операционку. Система отправляет данные о первом запуске каждого скачанного из Сети файла-установщика приложения на сервер Microsoft, который проверяет наличие у программы сертификата. Если его нет, Windows предложит отказаться от установки, сообщают Вести.Ru.
Microsoft может хранить эти данные и сопоставить их с IP-адресом компьютера, таким образом узнав, например, что на устройство установлено ворованное программное обеспечение.
Кобейси, кроме того, высказал опасения, что передаваемые системой данные очень легко перехватить, так как идентификационный сервер Microsoft использует небезопасный протокол шифрования SSLv2.0, в результате злоумышленники смогут узнать о каждой установленной на машине программе. Однако тут програмист немного напутал — в комментариях к его собщению ему указали, что идентификационный сервер Microsoft использует другой, куда более безопасный протокол.
«Большая проблема заключается еще и в том, что информация отсылается мгновенно и без спроса. Это серьезная проблема конфиденциальности для пользователей, ввиду сотрудничества Microsoft с органами власти и ее готовности передавать данные государственным структурам», — отмечает программист.
Однако исследователь уязвимостей ПО, скорее всего, сгущает краски. Во-первых, функцию SmartScreen можно выключить, обеспечив себе конфиденциальность. Во-вторых, многие программы нельзя идентифицировать по имени установщика, setup.exe или install.exe. В третьих, хотя вместе с именем файла SmartScreen отправляет еще и уникальный идентификатор файла, хэш, универсальной базы «хэшей» ни у Microsoft, ни у кого-то еще нет.
Наконец, сама корпорация также утверждает, что за пользователями не следит. «IP-адреса, необходимые для подключения к нашим сервисам, периодически удаляются. Мы принимаем все необходимые меры для того, чтобы защитить конфиденциальность пользователей. Мы не используем эти данные для идентификации, связи или рекламного таргетирования и не передаем их другим лицам. Что касается небезопасного протокола SSLv2.0, то операционная система Windows 8 не будет его использовать».
Впервые сервис SmartScreen появился в Internet Explorer 8. Он использовался как дополнение к фильтру от фишинга. Плагин отсылал данные о посещаемых пользователям веб-страницах на сервер и при необходимости выводил предупреждения. Аналогичные функции предупреждения о потенциально неблагонадежных сайтах встроены и в браузеры Google Chrome и Mozilla Firefox. Отметим, что в OS X 10.8 Mountain Lion компания Apple реализовала схожую функцию, носящую название Gatekeeper.
Нельзя забывать еще один очень важный момент. Фильтр SmartScreen предназначен для программ, устанавливаемым из файла, вручную, что называется, дедовским способом. В Windows 8, как и в последних версиях Mac OS и iOS Apple, а также Chrome OS и Android от Google есть магазин приложений, через который должны устанавливаться все программы, поддерживающие новый «плиточный» интерфейс, ранее известный как Metro. Сведения об этих приложениях, скачанных и установленых пользователем, неизбежно будут и храниться и обрабатываться Microsoft, и, более того, привязываться к конкретному аккаунту.
