SmartScreen: Windows 8 telefoniert nach Hause und berichtet über jede installierte Applikation
Im Blog von Nadim Kobeissi ist ein Artikel zu finden, der sich mit SmartScreen in Microsoft Windows 8 befasst. Genauer gesagt ist es eine Analyse, die einen doch recht faden Beigeschmack hat. Eigentlich findet er das betriebssystem ganz gut, allerdings gibt es in Richtung Sicherheit und Privatsphäre einige Bedenken – mehr letzteres.
Windows 8 bringt eine Funktion mit sich, die sich Windows SmartScreen nennt. Die Software untersucht jede Applikation, die via Internet installiert wird und gibt dann eine Meinung ab, ob das Programm für sicher gehalten wird oder nicht. Kobeissi erklärt, wie SmartScreen prinzipiell funktioniert.
Man lädt zum Beispiel das TOR Browser Bundle herunter und öffnet dann die Installations-Routine. Windows SmartScreen sammelt nun Informationen über das Programm und schickt die Daten zurück an Microsoft. Wenn die Software nicht mit einem Zertifikat versehen ist, bekommt der Anwender ein Fehlermeldung.
Microsoft sagt, dass ein Hash des App-Installers und die digitale Signatur kommuniziert werden. In Kombination mit der IP-Adresse lässt sich theoretisch dennoch nachvollziehen, dass IP-Adresse X die Software Y installiert hat.
Kobeissi sieht hier einige Probleme bezüglich Privatsphäre. Windows SmartScreen ist per Standard aktiviert und informiert Microsoft sofort über jede installierte Applikation. Wie sich das genau zu Spionage-Zwecken der Anwender ausnutzen lassen könnte – man muss nur 1+1 zusammenzählen.
Probleme sieht er auch in Sachen Sicherheit, weil sich die Kommunikation zwischen SmartScreen und Microsoft theoretisch anfangen ließe – Man in the Middle.
Bei der Installation von TOR öffnete SmartScreen eine HTTPS-Verbindung zu einem Microsoft-Server und fing an zu plaudern. Er machte einige Tests und fand heraus, dass der Microsoft-Server mit Unterstützung für das als unsicher geltenden SSLv2 konfiguriert ist. Nach seinem Artikel habe Microsoft aber reagiert und setzt nur noch SSLv3 auf diesem Server ein. Ob die Kommunikation wirklich auch mit SSLv2 gelaufen ist, hat er nach eigenen Angaben nicht geprüft.
Windows SmartScreen lässt sich deaktivieren. Allerdings nörgelt das Betriebssystem dann in regelmäßigen Abständen, dass eine wichtige Sicherheitsfunktion nicht am Laufen ist. Wie oft das geschieht, steht nicht in dem Artikel. Wenn Microsoft Daten nach Hause schickt, wird der Anwender darüber nicht informiert, sondern es geschieht alles hinter geschlossenen Türen.
Microsoft macht das Ganze natürlich laut eigenen Darstellungen, um die Sicherheit der Anwender zu verbessern. Dagegen ist zunächst nichts einzuwenden, wenn das wirklich die einzige Funktion von SmartScreen ist. Einen ziemlich faden Beigeschmack hat das Ganze trotzdem. bald werden sich Microsoft und Apple streiten, wer seine Anwender besser ausspionieren kann.
Nadim Kobeissi kann sich mit der derzeitigen Implementierung von SmartScreen auch nicht besonders anfreunden und hofft, dass die Problemzonen bezüglich Privatsphäre in kommenden Updates adressiert werden. Ebenso wird erwähnt, dass natürlich Regierungen brennendes Interesse an einer solchen Datenbank haben könnten.
In einem weiteren Beitrag beschwert er sich über einen Artikel von ARS Technica, der seine Funde komplett falsch interpretiert hat.
Natürlich besteht das Problem eigentlich bei jedem zentralisierten Repository, App-Store oder was auch immer. Selbst wenn ich mir in Linux eine Applikation nachinstalliere, könnten diese Daten theoretisch gespeichert werden. Meine IP-Adresse hat GIMP nachinstalliert oder so. Hier kommt es dann natürlich auf das Vertrauen an, das man in die jeweilige Organisation hat. Ich persönlich traue Microsoft einfach nicht – don’t be evil ist schließlich Googles Wahlspruch 🙂