研究发现Microsoft Edge的遥测技术会侵犯用户隐私
2020-03-16 13:29:40 Author: www.freebuf.com(查看原文) 阅读量:341 收藏

虽然Microsoft Edge与Chrome浏览器共享相同的源代码,但它为用户提供了更好的隐私保护。然而,据新的研究表明,与其他浏览器相比,Microsoft Edge的遥测技术或将侵犯用户隐私。

Microsoft-Edge-Beta2.jpg

根据Microsoft的说法,遥测是指由遥测组件或浏览器的内置服务载入的系统数据。遥测功能并不是Microsoft的新增功能,该公司一直在使用Windows 10中的遥测数据来识别、分析和修复问题。

爱尔兰三一学院的计算机系统主席Douglas J Leith教授对六个Web浏览器进行测试,以确定它们共享的数据内容。六个浏览器包含Chromium版Microsoft Edge、Google Chrome、Brave、俄罗斯的Yandex、Firefox和Apple Safari。

结果表明,Microsoft Edge在各种隐私测试中表现不佳。

Microsoft Edge中的遥测太多

在测试Edge浏览器时,Leith看到输入到Edge中的每个URL都将发送回Microsoft网站。比如在地址栏中键入的每个URL均与Bing和其他Microsoft服务(例如SmartScreen)共享。测试人员可以使用Fiddler来查看发送到Microsoft的JSON数据。

unhashed-url.jpg

解决这个问题可以使用类似于Google的“安全浏览”技术来实现,下载已知的恶意网站列表并将其保存在本地。浏览器对列表进行检查,如果需要将任何数据发送到Google的服务器,则只会发送可用于跟踪浏览行为的散列的部分URL fingerprint。

浏览器还将唯一的硬件标识符发送给Microsoft,这是一个“稳定而持久的标识符”,不能轻易更改或删除。

sid.jpg

俄罗斯网络浏览器Yandex也参与类似的反隐私活动:

从隐私的角度来看,Microsoft Edge和Yandex性能上与研究的其他浏览器不同。两者都发送持久标识符,然后将标识符用于将请求(以及关联的IP地址/位置)连接到后端服务器。Edge还将设备的硬件UUID发送给Microsoft,而Yandex同样将散列的硬件标识符发送给后端服务器。据我们所知,用户无法禁用此功能。除了共享访问网页详细信息的搜索自动完成功能之外,这两种浏览器都将网页信息传输到与搜索自动完成无关的服务器。

此外,企业版Microsoft Edge在对这些跟踪器的禁用部署中为管理员提供了很多控制权。但是默认情况下,所有Edge安装中都启用了跟踪器。

虽然Microsoft Edge在测试中表现不佳,但研究人员也质疑Chrome和其他浏览器的行为。用户以前曾注意到,Chrome浏览器会扫描整个计算机,并将可执行程序的哈希值报告给Google,以构建Chrome的安全浏览平台。

Chrome、Firefox和Safari利用其提供的服务获取用户访问过的详细网页信息,所有这些浏览器都使用自动完成功能将网址实时发送到其服务后台。

Firefox的遥测传输(默认情况下是秘密启用的)可能对长期使用其浏览器的用户进行链接追踪。据研究人员称,在Firefox中还有一个用于推送通知的开放式WebSocket,它链接到一个唯一的标识符,该标识符可用于跟踪。

*参考来源:Bleepingcomputer,Sandra1432编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/230481.html
如有侵权请联系:admin#unsafe.sh