Предустановленный в Windows 10 браузер Edge делится с Microsoft адресами посещаемых сайтов и уникальным идентификатором пользователя. Данные передаются в открытом виде.
Edge «сливает» историю пользователя
Оригинальная версия браузера Edge, включенная в состав операционной системы Windows 10, отправляет на серверы Microsoft данные о посещенных пользователем страницах в интернете. Передается не только полный адрес сайта (URL, Uniform Resource Locator – унифицированный указатель ресурса), но и идентификатор безопасности (SID). На это обратил внимание исследователь безопасности Мэтт Уикс (Matt Weeks), известный в Twitter как scriptjunkie1.
Microsoft применяют функцию Smartscreen «Защитника Windows» (Windows Defender) для защиты пользователей от потенциально опасного контента, загружаемого из интернета. В частности, Smartscreen проверяет адреса страниц, открываемых в Edge, на наличие в списке «нежелательных» адресов из базы данных компании и определяет, следует ли разрешить загрузку данного сайта. Об этом Microsoft честно предупреждает пользователей на странице, посвященной политике конфиденциальности, в разделе “Security and safety features”.
Однако, если доверять результатам проделанной Уиксом работы, Microsoft умалчивает о том, что URL передается в открытом (нехешированном) виде, а помимо адреса сайта может также отправляться и SID – особый уникальный идентификатор, присваиваемый пользователю при создании учетной записи в Windows. Таким образом, Microsoft может собирать сведения о сетевых предпочтениях пользователей Edge.
Стоит отметить, что по умолчанию в настройках Smartscreen для Microsoft Edge установлена опция «Предупредить», а саму функцию можно легко отключить вручную, в том числе и через настройки браузера.
Уикс отмечает, что Microsoft вполне мог бы использовать методы, уже взятые на вооружение разработчиками других популярных браузеров. К примеру, Google Chrome, Mozilla Firefox, и Safari компании Apple сверяют хеши адресов, посещаемых пользователем, с собственной базой хешей «плохих» URL.
Microsoft пока никак не прокомментировал данную ситуацию.
Ресурсу BleepingComputer удалось подтвердить наличие описанной Уиксом проблемы. Более того, издание выяснило, что функция Smartscreen передает на серверы Microsoft избыточные данные не только при проверке адресов веб-сайтов, но и в процессе анализа подозрительных файлов, открываемых с локальных дисков (данная опция в Windows 10 также включена по умолчанию).
Например, выяснилось, что отправляются сведения о полном пути к файлу и адресе сайта, с которого файл был ранее скачан. Данная информация передается в открытом виде, без применения алгоритмов хеширования.
BleepingComputer также поэкспериментировал с новой версией Edge на движке Chromium, который хоть и находится в разработке, но доступен всем желающим для тестирования с апреля 2019 г. Как выяснилось, новый Edge на данном этапе не делится с Microsoft идентификаторами пользователей, но по-прежнему отправляет URL в нехешированном виде.
Напомним, что оригинальный браузер Edge на собственном движке Microsoft – EdgeHTML, появившийся вместе с Windows 10 в июле 2015 г., заменил собой всем известный браузер Internet Explorer, от которого Microsoft рекомендует отказаться всем без исключения, позаимствовав у него ряд недостатков. В частности, «старый» Edge работает медленнее современных браузеров на Chromium и обновляется не так оперативно, что выливается в несвоевременную интеграцию поддержки современных веб-стандартов и наличие скрытых уязвимостей, из-за которых пользователи могут, например, лишиться личной информации.
По официальной версии, переход на Chromium был осуществлен ради улучшения совместимости с сайтами и упрощения процесса разработки приложений. Однако, по мнению одного из бывших стажеров команды разработчиков Microsoft Edge, на самом деле решение было принято потому, что Google слишком часто и непредсказуемо модифицировал свои веб-приложения, из-за чего в других браузерах они работали с ошибками.
Вернуться в раздел: Новости