X

Busque em mais de 20.000 artigos de nosso acervo.

Novidades pela net

Windows 8 diz à Microsoft tudo o que você instala


Nadim Kobeissi pode ser jovem, mas este hacker e programador já fez mais na luta pela privacidade e direitos na internet que muitos de nós jamais faremos. Agora, ele esclarece como a Microsoft pode saber de tudo que você instala em dispositivos com Windows 8.

Eu venho usando recentemente a versão final (RTM) do Windows 8 em um dos meus computadores, e gosto bastante. Fiquei impressionado como esta última versão do Windows é rápida, funcional e competente, além de ter um bom design. No entanto, ao explorar um pouco, o quesito segurança/privacidade me deixou preocupado.

Microsoft sabe de todo app instalado

O Windows 8 tem uma nova função chamada SmartScreen, que fica ativada por padrão. O propósito do Windows SmartScreen é examinar cada aplicativo que você tenta instalar da internet para lhe informar se é seguro proceder com a instalação. Eis como ele funciona:

  • Você baixa qualquer aplicativo da internet. Por exemplo, o Tor Browser Bundle, que impede qualquer um de espiar sua conexão.
  • Você abre o instalador. O Windows SmartScreen coleta alguns dados de identificação sobre o aplicativo, e envia tudo para a Microsoft.
  • Se a Microsoft responder dizendo que o aplicativo não é assinado com um certificado adequado, o usuário recebe uma mensagem de erro bem semelhante a esta.

Há alguns problemas sérios aqui. O grande problema é que o Windows 8 é configurado para dizer imediatamente à Microsoft tudo o que você baixa e instala.

De acordo com a Microsoft, o SmartScreen envia um hash do instalador e sua assinatura digital, se tiver. Mas uma combinação do hash e do IP do usuário já é o bastante para identificar que o endereço IP “X” tentou instalar o software “Y”.

Outro pesquisador descobriu que o nome do app que você tenta instalar é enviado para a Microsoft. Isto aumenta ainda mais a preocupação com privacidade.

Este é um problema sério de privacidade, especificamente porque a Microsoft é um ponto central de autoridade e coleta/retenção de dados, e portanto se torna vulnerável a receber intimações judiciais ou, nos EUA, Cartas de Segurança Nacional com o objetivo de monitorar usuários-alvo. Esta situação pode ser pior em países que passam por instabilidade ou repressão política.

Segurança

O problema, no entanto, podia ficar ainda mais sério: até hoje, seria possível interceptar as comunicações do SmartScreen com a Microsoft, e assim aprender sobre todo aplicativo baixado e instalado por um alvo. Eis minha análise.

Uma rápida captura de pacote mostrou que a seguinte atividade aconteceu imediatamente quando eu tentei instalar o Tor Browser Bundle:

e ssl

O SmartScreen parece se conectar via HTTPS a um servidor em Redmond (apprep.smartscreen.microsoft.com, 65.55.184.60, que pertence à Microsoft) para comunicar informações sobre o aplicativo que eu tentava instalar.

Depois de alguns testes neste servidor da Microsoft, eu descobri que ele usa o Microsoft IIS 7.5 para lidar com suas conexões HTTPS. O servidor da Microsoft era configurado para dar suporte a SSLv2, que é conhecido por ser inseguro e suscetível a intercepção. A cadeia SSL Certificate Authority descia de “GTE CyberTrust Global Root” para “Microsoft Secure Server Authority”. Este modelo de certificado é suscetível a alguns problemas sérios.

Aproximadamente 14 horas depois que este artigo foi originalmente publicado, um novo teste nos servidores do SmartScreen revelou que eles foram reconfigurados para não dar mais suporte a SSLv2. Os servidores agora só suportam SSLv3.

Microsoft responde

A Microsoft nega ao The Verge que o SmartScreen viole a privacidade dos usuários. Um porta-voz da empresa diz:

Nós podemos confirmar que não estamos construindo uma base de dados com o histórico de dados sobre programas e IP dos usuários.

Assim como todo serviço online, endereços IP são necessários para se conectar a nosso serviço, mas nós periodicamente os deletamos dos nossos logs. Como indica nossas declarações de privacidade, nós tomamos atitudes para proteger a privacidade dos nossos usuários no back-end. Nós não usamos estes dados para identificar, contatar ou personalizar propagandas para nossos usuários, e não os compartilhamos com terceiros.

Além disso, o porta-voz diz que “o Windows SmartScreen não usa o protocolo SSL2.0″.

Mesmo assim, eu acredito que a decisão da Microsoft em deixar o SmartScreen tão suscetível a invasões de privacidade é uma escolha muito ruim. Além disso, não é fácil desativar o SmartScreen, e quando você o desativa, o Windows periodicamente avisa ao usuário que ele deveria reativá-lo:

e ssl

***

Republicado (com adaptações) de Nadim Kobeissi. Além de desenvolver o Cryptocat, ele escreve regularmente no Twitter e em seu blog pessoal.

e di
e cVabliHs

Via RSS de Gizmodo Brasil

Leia em Gizmodo Brasil

Comente este artigo

Populares

Topo
http://enterslots.epizy.com/ http://cair138.epizy.com/ http://sido247.epizy.com/ http://omega89.epizy.com/ http://merdeka138.epizy.com/ 7meter slot 7winbet abcslot https://obor138.web.fc2.com/ https://monsterbola.web.fc2.com/ https://daget77slot.web.fc2.com/ star77 138 slot istana77 mega138 cuan138 nuke gaming slot grandbet infini88 pg slot baccarat casino idn live idn poker sbobet tangkas88 slot sbobet88 slot deposit dana joker123 autowin88 zeus138 dewagg roma77 77lucks bos88 ligadewa sonic77 168 slot