Microsoft EdgeのSmartScreen、ユーザーのセキュリティ識別子をサーバーに送信 60
ストーリー by headless
識別 部門より
識別 部門より
Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイート、 Bleeping Computerの記事、 BetaNewsの記事、 Softpediaの記事)。
SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。
貴方ならどうする (スコア:1)
SIDと、ディレクトリ構造と、訪問URLのセットが蓄積されていて、それが今後漏洩する。
プロのマルウェア開発者なら、取るべき行動は決まってくると思うのですが。
Re: (スコア:0)
SIDだけでは何かできるわけではないし、送信先も固定されているのでは、利用するのは難しい。
まあ、設定の同期とか使わないようにするんだね。
気になるならProxyサーバー経由のアクセスにして、Proxyサーバーでフィルタしたほうがいい。
Re: (スコア:0)
ローカルディスクを探索するまでもなく、端末のディレクトリ構造がわかるわけだから、速攻で情報を狙い撃ちする。
Re: (スコア:0)
パスワードと同様、ディレクトリ構造も定期的に変更する時代になるのか
Re: (スコア:1)
そういえば、自分は漏れちゃ困る個人情報を保管したディレクトリの名前を毎年変えてたな。
ディレクトリパス漏洩時に備えて。
というのも、Officeが、編集したファイルのパスをイベントログに全部記録していて、
そのログに、それがMicrosoftのカスタマーエクスペリエンスなんちゃらのため、と書かれていて、
つまるところ、MS社が無断でOfficeで作った全ファイル名を入手していた可能性に気付いたからだった。
OfficeLensでも、画像データをMS社に送信するというスイッチが勝手にオンにされてたことがあるから
(オフにしていたことは確認済み)、それで撮影した免許証の写真とかも無断で取られてそう。
Microsoftは政府が監査・管理すべきで、持ってる情報全てをゲロさせるべきだよ。
今回の件だけでなく、図に乗り過ぎ。
Windows10は (スコア:0)
Win10は、プライバシー設定で設定できるいろんなプライバシー設定を、
すべて高プライバシー側に振っても、
OSのいろんなプロセスが、よくわからない通信を外部とたくさんしてるので、
なんかいろんな情報とられてそうで不安
ファイルをダウンロードした先のパスも送信されている。 (スコア:0)
あなたのPCのディレクトリ構造もMicrosoftには筒抜けです。
Re:ファイルをダウンロードした先のパスも送信されている。 (スコア:2)
マジか!ないしょフォルダ、削除しなきゃ!
// 単純所持。
死して屍 拾う者なし
Re: (スコア:0)
削除するといざ使う時(って何だ?)に困るのでそこは世界中で共有すべきでせう。
さあzipでうpうp!!
また迷惑な独自仕様 (スコア:0)
独占企業の考えることがはわからんが
やるなら公的に役立つように一般仕様にしてくれないかな。
マイクロソフトはいつもバグだらけで迷惑なので
仕様なのかバグなのか明確にするためにも仕様化を望みます。
Re:また迷惑な独自仕様 (スコア:1)
バグだらけじゃない企業があったら教えてほしいもんだ
Re: (スコア:0)
程度問題かと思いますが
マイクロソフトってそもそもテストってしてるんですか?
Re: (スコア:0)
テストをしてなければこの程度の不具合で済む訳がない。
でも出回っている全ての環境のパターンを満たしている訳もない。
Re: (スコア:0)
後から出るようなバグはなら理解できるにしても、
初見でわかるようなのは中途半端なテストですか?
Re: (スコア:0)
マイクロソフトの製品でソースが公開されているものも少なくないので、
初見でわかるようなものだけでも報告してあげればいいんじゃないですかね。
MVPアワードとか、ちゃんと表彰制度もありますから。
Re: (スコア:0)
他社と比べれば品質は上の方だろ。
ハードとセット売りの非常にテストケースが少ないApple、なのにバグだらけ。
永遠のβ版の異名を持つGoogle。
某Adobe製品のコードも新人が書いたの?ってぐらい酷かった。
Re: (スコア:0)
うん、正直十分上質な方だと思う。
規模も全然違うのに。
いまだに20年くらい前のイメージのまま語ってる人が多いんじゃないのかな。
そういえば、Appleには日本語版のWindowsがなくて、日本語環境でテストしてない、なんて話を思い出した。
自分で直接聞いたわけでもないし、今も同じとは限らないけど。
Re: (スコア:0)
大企業って、どこもこんなことやってる。
お前の名前SIDなの? (スコア:0)
いや、俺は違うけどさ
Re: (スコア:0)
SIDの発行の仕組みを知っているのはMicrosoftだし、
Windowsが標準で求めるMSアカウントには氏名を入力するよね?
Edgeで取得したSIDと別口で取得したSID+アカウントのセットで
特定できるんじゃないの?
知っていれば、MSアカウントを使用する必要はないし、
氏名に正しい値を入力する必要なないけれど、
それは誰にでも求めるものじゃないでしょう?
Re: (スコア:0)
>SIDの発行の仕組みを知っているのはMicrosoftだし、
他社も知っている。
>Windowsが標準で求めるMSアカウントには氏名を入力するよね?
人それぞれ。
ニックネームを入力する人もいるし、姓:あ、名:あ
の人もいる。
Re: (スコア:0)
>> SIDの発行の仕組みを知っているのはMicrosoftだし、
> 他社も知っている。
SIDの作り方という意味ではなくて、どのアカウントがどのSIDかを
MSは知ることができるよねという事です(SIDはMSが作ったプログラムが
発行しているはずだから)。
>> Windowsが標準で求めるMSアカウントには氏名を入力するよね?
> 人それぞれ。
> ニックネームを入力する人もいるし、姓:あ、名:あ
> の人もいる。
名前の入力を求められているのだから、正直に本名を入力している人は一定数いるでしょう?
「人それぞれで、ニックネームとか偽名を入れている」というのは、
本名を入れている人(=SIDから名前の紐づけがされている可能性がある)の事を無視しているの?
# というかその件は2段落目に書いているのだけれども読んでないの?
Re: (スコア:0)
>どのアカウントがどのSIDかをMSは知ることができるよね
それはどうだろう?
Re: (スコア:0)
別口(別のプロセス)で、アカウントとSIDのセットを送信していれば可能でしょ?
# とは言え、陰謀論には違いないが・・・
「パンツじゃないから恥ずかしくないもん!」→「セクハラだ」「感覚が狂っている」と同じ構造 (スコア:0)
Microsoftの回答(Softpedia記事)は、SIDやディレクトリパスまで集めてたことをしれっと無視している。
- SmartScreenは顧客を保護するた機能を提供。
- データを暗号化して、安全なHTTPSで収集。
- ユーザーはいつでも無効にできる。
MS「顧客保護のためだから、SIDやディレクトリパス集めても問題ないもん!」
→各紙「SIDや機微性のあるディレクトリパスまで集めるのはプライバシー侵害だ」
…この構造、デジャブを感じたが、
「パンツじゃないから恥ずかしくないもん!」
→「セクハラだ」「感覚が狂っている」 [kyoto-np.co.jp]
と全く同じだな。
Re: (スコア:0)
RPG主人公がタンスの中を勝手に漁って金を奪ったり、ツボを割ったりするような話。
実際にやられると、イラっとくるどころか、怒りが収まらないな。
早く公取は動いて、集団訴訟も起きて。Microsoftを解体してくれ。
まあ、位置情報 (スコア:0)
OFFにしてるのにこっそり追尾されるよりはましか
Re: (スコア:0)
個人的にはAndroidのこの仕様が一番アウトだな。リアル居場所が追跡されているのは怖すぎる。
どいつもこいつも (スコア:0, 参考になる)
>Siriの録音が定期的に契約企業に送信
>Appleは、ユーザーの音声の録音を秘密裏に契約企業と共有していることにより、GoogleやAmazonなどのいかがわしい企業の仲間入りをしてしまった。
>ほかの企業と同じようにAppleも、それをやってることを開示を強制されるまでは言わなかった。
Appleは利用許諾に明記している。MSは明記していない。 (スコア:1)
AppleのiOS利用許諾には、少なくとも2011年時点で、次の1文が書いてある。
「Siriおよびディクテーション機能をお使いになることによって、Appleおよびその子会社ならびに代理人がSiri、ディクテーション機能、ならびにその他Apple製品およびサービスを提供および向上するために、お客様の音声インプットおよびユーザデータを含む本情報を送信、収集、維持、処理および使用することに同意し、承諾したこととなります。」
しかも、目立つように、この文は太字で書かれている。
Microsoftは利用許諾にディレクトリパスを集めることなど何一つ明記していない。
Re: (スコア:0)
HUAWEIの利用許諾の、それにあたる文を「堂々と宣言してやがる、使わない」という人たちがいるのを思い出した。
Re: (スコア:0)
利用許諾読んでから同意する/しない決めるのが建前なのに、
実際に利用許諾読んで同意しなかったと言うとむしろ不思議がられる、
この不思議さ。
同調圧力ってやぁね。
でも、
その同調圧力を傘にきて、
収集情報を開示すらしていない
デファクトスタンダード企業は、
ただの詐欺師。
Re: (スコア:0)
同意するしないの話じゃなくて、他も同じこと書いてるのを知らないのか知ってて無視してるのか、
「HUAWEIは」おかしいと考えてる人たちのことを言ってるだけ。
Re: (スコア:0)
あなたは2011年にiPhone4sにSiriが搭載された時点でのiOSの利用許諾を見ていません。
その時点で既に明記してある事実を無視しないで下さい。
Re: (スコア:0)
事実はここに書いてある→
2011年のiOS5の利用許諾 [security.srad.jp]。
確かに、2011年時点、Siri初出時点の利用許諾に文言が該当の文言が太字で明記されている。
事実を示していないのは貴方の方だな。
Re: (スコア:0)
引用するなら、そのリンクも示してくれよ。
Re: (スコア:0)
ソフトウェアライセンス契約 iOS 5.0 [apple.com]
Edge使ってないけど (スコア:0)
ストアアプリもSkype以外多分使ってないけど、その他のアプリで本当に経由してないのだろうか。
Re: (スコア:0)
SmartScreenはStoreアプリも対象のはずだけど。
具体的には「スタート > Windowsセキュリティ > アプリとブラウザコントロール」に
次の3つの設定がある。
- アプリとファイルの確認 : Webサイトからのアプリとファイルを確認
- Microsoft Edge の SmartScreen :サイトやダウンロードからデバイスを保護
- Microsoft Store アプリの SmartScreen :Store アプリが使用する Web コンテンツをチェック
本来、どれもURLだけを Microsoft社が照合する機能に見せかけているし、
それだけ送信すれば済むはずだと思われるのに、
今回、2つ目の機能でディレクトリパスやSIDまで送信してた、と判明した話だから、
他の機能でも同じように情報を送信していないわけがないだろう。
Re: (スコア:0)
>SmartScreenはStoreアプリも対象のはずだけど。
うん、なので「Skype以外は使ってない」と。
で、「アプリとファイルの確認」はオフにしているので、SmartScreenの対象はSkypeだけと思ってる。
という前提で、その他のアプリを使ってるときは本当に関係してないんだろうか、という話。
それでも (スコア:0)
GoogleやFacebookよりはずっと安心感ある
Re: (スコア:0)
Microsoft がPC内の全てのデータにアクセスできるのに?
Re: (スコア:0)
空き巣の常連が家の周辺をうろついているより、ちゃんとした職に就いている親戚のおじさんが家に泊まりに来るほうが安心だろ。
片方は明確に盗むことを生業としているんだから。
Re: (スコア:0)
そのおじさんはいつちゃんとしたOS作ってくれるんですか?
Re: (スコア:0)
他のOSよりはずっとちゃんとしてるだろ
Re: (スコア:0)
いつもそのおじさんを家に上げてるのはあなたですよ?
Re: (スコア:0)
おじさんがは頼んでもないのに勝手に畳の張り替え工事とかやり出すんですが
Re: (スコア:0)
どこが安心だ。
狭い家屋に、豪邸を持ち贅沢な服を着たビリオネアが押し掛けてきて、
葉巻吸いながらそこらにあるものを物色して放り投げながら「フンッ」と小馬鹿にしてくるイメージ。
親戚だろうが赤の他人だろうが、
その態度には侮辱しか感じず、怒りしか沸いて来ない。
ビジネスで我慢するならまだしも、プライベートに踏み込んでくるわけだ、その偉ぶった奴は。
いじめっこが示すような態度だね。
搾取され侮辱されることを受け入れて諂っている人は、
人としての尊厳を見失って飼いならされた家畜ですね。
Re: (スコア:0)
ここにあえてAppleを入れない
そういうとこやぞ
SIDって識別情報としてはかなり微妙だが (スコア:0)
基本的にマシンローカル(ADアカウントならドメインローカル)な数値列で、グローバルな意味はないはず。
例えば別のPCで同じSIDが採番されることもありうる。とはいえトラッキングには有効だろう。
Microsoftアカウントと紐づけされてれば話は別だが、されてるのかな。