Microsoft Defender SmartScreen可能會造成使用者使用Edge瀏覽資訊洩露
Microsoft Defender SmartScreen可能會造成使用者使用Edge瀏覽資訊洩露
官方的功能介紹:
Microsoft Defender SmartScreen通過以下方式幫助您更安全地瀏覽Microsoft Edge:
- 提醒您注意可疑網頁:當您瀏覽網頁時,SmartScreen 會分析網頁並確定它們是否可疑。如果發現可疑站點,SmartScreen 會顯示一個警告頁面,建議你繼續謹慎,並讓你有機會向 Microsoft 提供反饋。
- 防禦網絡釣魚和惡意網站: SmartScreen 會根據報告的網路釣魚和惡意軟體網站的動態列表檢查您訪問的站點。如果找到匹配項,SmartScreen 將顯示一條警告,指出為了您的安全,該網站已被阻止。
- 篩選下載:SmartScreen 會根據已知不安全的報告惡意軟體站點和程式的列表檢查您的下載。如果找到匹配項,SmartScreen 會警告您,為了您的安全,下載已被阻止。SmartScreen 還會根據 Microsoft Edge 使用者的知名和熱門下載列表檢查您下載的檔案,並在您的下載不在此列表中時向您發出警告。
若要在 Microsoft Edge 中開啟或關閉 SmartScreen,請執行以下操作:
- 選擇“設定及更多內容” >“設定” >“隱私、搜尋和服務”。
- 在“服務”下,開啟或關閉 Microsoft Defender SmartScreen。
使用Fiddler抓包:
nav.smartscreen.microsoft.com當我們使用 edge瀏覽器進行搜尋或瀏覽時,後臺會明文將我們的url資料 傳送到微軟後臺進行分析。
以下是詳細資料 json中 url明文傳輸可能會造成我們的瀏覽資料洩露。。。。
{ "config": { "device": { "appControl": { "level": "anywhere" }, "appReputation": { "enforcedByPolicy": false, "level": "warn" }, "pua": null }, "user": { "uriReputation": { "enforcedByPolicy": false, "level": "warn" } } }, "correlationId": "896DF6D4-xxx-988DB8464577", "destination": { "ip": null, "uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8" }, "forceServiceDetermination": false, "identity": { "caller": { "locale": "zh-CN", "name": "anaheim", "process": null, "version": "101.0.xxxx.47 (Official build) " }, "client": { "data": { "customSettings": "xxxxxx", "customSynchronousLookupUris": "0", "edgeSettings": "2.0-xxx", "synchronousLookupUris": "xx", "topTraffic": "xx" }, "version": "xxxxx" }, "device": { "architecture": 9, "browser": { "internetExplorer": "9.11.22000.0" }, "cloudSku": false, "customId": null, "enterprise": null, "family": 3, "id": null, "locale": "zh-CN", "netJoinStatus": 2, "onlineIdTicket": "t=GwAWAd9tBAAUa9NnKxxxxx=", "osVersion": "10.0.22000.675.co_release" }, "user": { "locale": "zh-CN" } }, "redirectChain": [ { "uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t" }, { "uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&rsv_jmp=slow" }, { "uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&rsv_jmp=slow" } ], "referrer": { "ip": null, "uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%xx%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t" }, "serverContext": null, "signals": null, "synchronous": false, "systemSettings": { "battery": null, "network": null }, "type": "top", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.xxx.64 Safari/537.36 Edg/101.0.xxx.xxx" }
部分資訊使用xxx代替;
查詢以後發現早已經有人反饋過此問題
Windows 10 SmartScreen 將 URL 和應用名稱傳送給 Microsoft
七月 22, 2019 04:01 點
上週末,有人提出了關於Microsoft Edge如何將URL上傳到SmartScreen而不先對其進行雜湊處理的隱私問題。經過BleepingComputer的進一步測試,我們瞭解到,當您嘗試執行應用程式時,Windows 10還會向SmartScreen傳輸大量有關應用程式的潛在敏感資訊。上週末,安全研究員Matt Weeks發現Microsoft Edge將正在訪問的網站的URL傳送到SmartScreen。傳送此內容時,此 URL 不會以任何方式進行模糊處理或雜湊處理。這引發了人們對微軟可以跟蹤您訪問的網站的擔憂。
與 SmartScreen 通訊時,Edge 會向 https://nav.smartscreen.microsoft.com/windows/browser/edge/service/navigate/4/sync 傳送 JSON 編碼的 POST 請求,其中包含有關正在檢查的 URL 的資訊。
BleepingComputer能夠使用Fiddler確認此行為,該行為顯示以下JSON通過安全連線傳送到Microsoft。
正在傳送到智慧螢幕的未雜湊 URL
除了以未雜湊形式傳送 URL 之外,Microsoft Edge 還出於某種原因將登入使用者的 SID 或安全識別符號傳送給 Microsoft。SID 是 Windows 在將新帳戶新增到作業系統時建立的唯一識別符號。
向用戶傳送 SID
Twitter執行緒中的許多使用者都表示擔心以未雜湊形式傳送URL存在隱私風險,因為它可能允許Microsoft檢視使用者的瀏覽歷史記錄。新增還發送使用者的 SID 只是增加了問題。
適用於應用程式的智慧螢幕可公開更多資料
雖然Weeks的研究重點是SmartScreen在瀏覽網頁時的操作方式,但在BleepingComputer的測試中,您可以看到SmartScreen在啟動可執行檔案時也會暴露大量私人資訊。
預設情況下,Windows 10 啟用一項名為“檢查應用和檔案”的功能,該功能使用 Windows Defender SmartScreen 在檔案是惡意檔案之前向您發出警告。
檢查應用和檔案設定
下載檔案並嘗試開啟它後,Windows 10將連線到 https://checkappexec.microsoft.com/windows/shell/service/beforeExecute/2 併發送有關該檔案的各種資訊。
在我們的測試中,Windows 10 傳輸的某些資訊包括計算機上檔案的完整路徑以及從中下載檔案的 URL。這些資訊都不會以任何方式進行雜湊處理。
例如,我上傳了一個名為md5sum的小實用程式.exe到 WeTransfer.com。然後,我將該檔案下載到另一臺Windows 10 PC上,並嘗試執行它。
從下圖中可以看出,Windows 將下載檔案的 URL 以及檔案在測試計算機上的位置的完整路徑傳輸到 SmartScreen 服務。
傳送給微軟的檔案資訊
此資訊可能會向 Microsoft 公開大量敏感和私人資訊。這包括敏感檔案的專用下載 URL 以及內部 Windows 系統和網路的資料夾結構。
雖然我們不建議你這樣做,但防止共享此資訊的唯一方法是禁用此功能。
微軟一直透露網址和檔案資訊是共享的
在閱讀了Weeks的推文後,許多使用者立即對微軟大喊犯規,但現實情況是,微軟並沒有做任何他們沒有說過的事情。
正如Microsoft Edge開發人員Eric Lawrence所顯示的那樣,微軟早在2005年和最近的文件中就明確指出,在使用SmartScreen時,URL和檔案資訊將通過安全連線傳送給Microsoft。
傳送到智慧螢幕的資訊
雖然他們沒有做任何偷偷摸摸的事情,但微軟可以修改URL的傳送方式,以便以類似於Chrome SafeBrowsing的方式對它們進行雜湊處理。
另一種方法是執行 SafeBrowsing 執行的操作,即將雜湊列表推送到客戶端。這很好,但這是一個權衡,資料新鮮度和傳輸大小,而不是威脅模型的價值,在這種模型中,你不信任編寫你正在執行的程式碼的人。
—埃裡克·勞倫斯(@ericlaw)2019年7月22日
在一個人們終於意識到他們對資料及其使用方式的控制力有多小的世界裡,這種權衡可能是值得的,讓客戶放心。
基於Chromium的Microsoft Edge不再發送SID
傳送SID是一件奇怪的事情,似乎在Microsoft的SmartScreen文件中沒有任何地方引用。
好訊息是,新的基於Chromium的Microsoft Edge在SmartScreen請求期間不再發送SID。
但是,它確實會繼續傳送未雜湊的URL。只有當微軟決定開始對URL進行雜湊處理時,這種做法才會結束,這可能需要對其許多產品進行重大的程式碼更改。
2019 年 7 月 24 日更新:微軟迴應如下:
- Microsoft SmartScreen 通過瀏覽器提供業界領先的防範網路釣魚和惡意軟體保護。
- 資料經過加密,通過安全的HTTPS通道收集,並用於保護客戶免受這些網路釣魚和惡意軟體威脅。
- 微軟的核心隱私原則之一一直是讓人們控制他們的個人資訊。如果您不想啟用 SmartScreen,可以隨時將其關閉。有關詳細資訊,請訪問 Microsoft Edge 隱私常見問題解答”
文章來源:劉俊濤的部落格 歡迎關注公眾號、留言、評論,一起學習。
若有幫助到您,歡迎捐贈支援,您的支援是對我堅持最好的肯定(_)