Microsoft Defender SmartScreen可能会造成用户使用Edge浏览信息泄露
官方的功能介绍:
Microsoft Defender SmartScreen通过以下方式帮助您更安全地浏览Microsoft Edge:
- 提醒您注意可疑网页:当您浏览网页时,SmartScreen 会分析网页并确定它们是否可疑。如果发现可疑站点,SmartScreen 会显示一个警告页面,建议你继续谨慎,并让你有机会向 Microsoft 提供反馈。
- 防御网络钓鱼和恶意网站: SmartScreen 会根据报告的网络钓鱼和恶意软件网站的动态列表检查您访问的站点。如果找到匹配项,SmartScreen 将显示一条警告,指出为了您的安全,该网站已被阻止。
- 筛选下载:SmartScreen 会根据已知不安全的报告恶意软件站点和程序的列表检查您的下载。如果找到匹配项,SmartScreen 会警告您,为了您的安全,下载已被阻止。SmartScreen 还会根据 Microsoft Edge 用户的知名和热门下载列表检查您下载的文件,并在您的下载不在此列表中时向您发出警告。
若要在 Microsoft Edge 中打开或关闭 SmartScreen,请执行以下操作:
- 选择“设置及更多内容” >“设置” >“隐私、搜索和服务”。
- 在“服务”下,打开或关闭 Microsoft Defender SmartScreen。
使用Fiddler抓包:
nav.smartscreen.microsoft.com当我们使用 edge浏览器进行搜索或浏览时,后台会明文将我们的url数据 发送到微软后台进行分析。
以下是详细数据 json中 url明文传输可能会造成我们的浏览数据泄露。。。。
{
"config": {
"device": {
"appControl": {
"level": "anywhere"
},
"appReputation": {
"enforcedByPolicy": false,
"level": "warn"
},
"pua": null
},
"user": {
"uriReputation": {
"enforcedByPolicy": false,
"level": "warn"
}
}
},
"correlationId": "896DF6D4-xxx-988DB8464577",
"destination": {
"ip": null,
"uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8"
},
"forceServiceDetermination": false,
"identity": {
"caller": {
"locale": "zh-CN",
"name": "anaheim",
"process": null,
"version": "101.0.xxxx.47 (Official build) "
},
"client": {
"data": {
"customSettings": "xxxxxx",
"customSynchronousLookupUris": "0",
"edgeSettings": "2.0-xxx",
"synchronousLookupUris": "xx",
"topTraffic": "xx"
},
"version": "xxxxx"
},
"device": {
"architecture": 9,
"browser": {
"internetExplorer": "9.11.22000.0"
},
"cloudSku": false,
"customId": null,
"enterprise": null,
"family": 3,
"id": null,
"locale": "zh-CN",
"netJoinStatus": 2,
"onlineIdTicket": "t=GwAWAd9tBAAUa9NnKxxxxx=",
"osVersion": "10.0.22000.675.co_release"
},
"user": {
"locale": "zh-CN"
}
},
"redirectChain": [
{
"uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t"
},
{
"uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&rsv_jmp=slow"
},
{
"uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%2FrSM0RBrvfH0MUnyhRpUvlYnDBBH%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&rsv_jmp=slow"
}
],
"referrer": {
"ip": null,
"uri": "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=%E6%AC%A7%E8%B7%AF%E8%AF%8D%E5%85%B8&oq=%25E6%25AC%25A7%25E8%25B7%25AF%25E8%25AF%258D%25E5%2585%25B8&rsv_pq=8a335a50000562b6&rsv_t=xx%xx%2Fzv4ty3ArtPXE&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t"
},
"serverContext": null,
"signals": null,
"synchronous": false,
"systemSettings": {
"battery": null,
"network": null
},
"type": "top",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.xxx.64 Safari/537.36 Edg/101.0.xxx.xxx"
}
部分信息使用xxx代替;
查询以后发现早已经有人反馈过此问题
Windows 10 SmartScreen 将 URL 和应用名称发送给 Microsoft
七月 22, 2019 04:01 点
上周末,有人提出了关于Microsoft Edge如何将URL上传到SmartScreen而不先对其进行哈希处理的隐私问题。经过BleepingComputer的进一步测试,我们了解到,当您尝试运行应用程序时,Windows 10还会向SmartScreen传输大量有关应用程序的潜在敏感信息。上周末,安全研究员Matt Weeks发现Microsoft Edge将正在访问的网站的URL发送到SmartScreen。发送此内容时,此 URL 不会以任何方式进行模糊处理或哈希处理。这引发了人们对微软可以跟踪您访问的网站的担忧。
与 SmartScreen 通信时,Edge 会向 https://nav.smartscreen.microsoft.com/windows/browser/edge/service/navigate/4/sync 发送 JSON 编码的 POST 请求,其中包含有关正在检查的 URL 的信息。
BleepingComputer能够使用Fiddler确认此行为,该行为显示以下JSON通过安全连接发送到Microsoft。
正在发送到智能屏幕的未哈希 URL
除了以未哈希形式发送 URL 之外,Microsoft Edge 还出于某种原因将登录用户的 SID 或安全标识符发送给 Microsoft。SID 是 Windows 在将新帐户添加到操作系统时创建的唯一标识符。
向用户发送 SID
Twitter线程中的许多用户都表示担心以未哈希形式发送URL存在隐私风险,因为它可能允许Microsoft查看用户的浏览历史记录。添加还发送用户的 SID 只是增加了问题。
适用于应用程序的智能屏幕可公开更多数据
虽然Weeks的研究重点是SmartScreen在浏览网页时的操作方式,但在BleepingComputer的测试中,您可以看到SmartScreen在启动可执行文件时也会暴露大量私人信息。
默认情况下,Windows 10 启用一项名为“检查应用和文件”的功能,该功能使用 Windows Defender SmartScreen 在文件是恶意文件之前向您发出警告。
检查应用和文件设置
下载文件并尝试打开它后,Windows 10将连接到 https://checkappexec.microsoft.com/windows/shell/service/beforeExecute/2 并发送有关该文件的各种信息。
在我们的测试中,Windows 10 传输的某些信息包括计算机上文件的完整路径以及从中下载文件的 URL。这些信息都不会以任何方式进行哈希处理。
例如,我上传了一个名为md5sum的小实用程序.exe到 WeTransfer.com。然后,我将该文件下载到另一台Windows 10 PC上,并尝试执行它。
从下图中可以看出,Windows 将下载文件的 URL 以及文件在测试计算机上的位置的完整路径传输到 SmartScreen 服务。
发送给微软的文件信息
此信息可能会向 Microsoft 公开大量敏感和私人信息。这包括敏感文件的专用下载 URL 以及内部 Windows 系统和网络的文件夹结构。
虽然我们不建议你这样做,但防止共享此信息的唯一方法是禁用此功能。
微软一直透露网址和文件信息是共享的
在阅读了Weeks的推文后,许多用户立即对微软大喊犯规,但现实情况是,微软并没有做任何他们没有说过的事情。
正如Microsoft Edge开发人员Eric Lawrence所显示的那样,微软早在2005年和最近的文档中就明确指出,在使用SmartScreen时,URL和文件信息将通过安全连接发送给Microsoft。
发送到智能屏幕的信息
虽然他们没有做任何偷偷摸摸的事情,但微软可以修改URL的发送方式,以便以类似于Chrome SafeBrowsing的方式对它们进行哈希处理。
另一种方法是执行 SafeBrowsing 执行的操作,即将哈希列表推送到客户端。这很好,但这是一个权衡,数据新鲜度和传输大小,而不是威胁模型的价值,在这种模型中,你不信任编写你正在运行的代码的人。
—埃里克·劳伦斯(@ericlaw)2019年7月22日
在一个人们终于意识到他们对数据及其使用方式的控制力有多小的世界里,这种权衡可能是值得的,让客户放心。
基于Chromium的Microsoft Edge不再发送SID
发送SID是一件奇怪的事情,似乎在Microsoft的SmartScreen文档中没有任何地方引用。
好消息是,新的基于Chromium的Microsoft Edge在SmartScreen请求期间不再发送SID。
但是,它确实会继续发送未哈希的URL。只有当微软决定开始对URL进行哈希处理时,这种做法才会结束,这可能需要对其许多产品进行重大的代码更改。
2019 年 7 月 24 日更新:微软回应如下:
- Microsoft SmartScreen 通过浏览器提供业界领先的防范网络钓鱼和恶意软件保护。
- 数据经过加密,通过安全的HTTPS通道收集,并用于保护客户免受这些网络钓鱼和恶意软件威胁。
- 微软的核心隐私原则之一一直是让人们控制他们的个人信息。如果您不想启用 SmartScreen,可以随时将其关闭。有关详细信息,请访问 Microsoft Edge 隐私常见问题解答”
文章来源:刘俊涛的博客 欢迎关注公众号、留言、评论,一起学习。
若有帮助到您,欢迎捐赠支持,您的支持是对我坚持最好的肯定(_)