[SECURITY-L] Windows Update captura dados pessoais

[Silvana Mieko Misuta]

Subject: Windows Update captura dados pessoais
    Date: Wed, 26 Feb 2003 19:17:29 -0300 (ART)
   From: Caio Souza <caio_sm em yahoo.com.br>

Windows Update captura dados pessoais

Quarta-feira, 26 de Fevereiro de 2003 - 12h31

IDG Now!

A política de privacidade do Windows Update costumava se resumir a um
grande banner informando que as atualizações de
software eram feitas "sem o envio de informações à Microsoft",
assegurando a privacidade do usuário, em caso de
atividades suspeitas na rede. No entanto, os tempos são outros.

Novas versões do Windows Update enviam um significativo montante de
dados para o servidor de atualizações da
Microsoft. Infelizmente, o conteúdo exato transmitido — por meio de uma
conexão encriptada em SSL (Secure Sockets
Layer) — e sua relevância para a privacidade do usuário não foram
revelados, até o momento.

O Windows Update consiste em algumas páginas HTML com uma grande
quantidade de códigos embutidos em Java Script
e um componente chamado COM. Estes "blocos"são baixados quando o usuário
abre a página do Windows Update
(http://v4.windowsupdate.microsoft.com/default.asp) no Internet
Explorer.

A principal tarefa do código em Java Script — que é fácil de analisar já
que o código-fonte do Java pode ser examinado —
é interagir com o usuário. A funcionalidade mais interessante, no
entanto, esconde-se no componente COM.

Utilizando uma ferramenta chamada tecDump é possível saber que o Windows
Update usa solicitações POST para
transmitir mensagens em SOAP (Simple Object Access Protocol) para o
servidor da Microsoft. O SOAP é o
protocolo-padrão no qual se baseia a linguagem XML (eXtesible Markup
Language) para comunicações em serviços Web
— bloco elementar de desenvolvimento da plataforma .Net, da Microsoft.

O fator mais preocupante em relação à privacidade envolve a capacidade
de listagem de componentes da máquina do
usuário pelo Windows Uptade. Esta lista transferida ao servidor da
Microsoft pode revelar o fabricante e o modelo de todos
os cartões PCI instalados no computador, bem como de dispositivos de
armazenamento e componentes de hardware.

A abordagem de versões mais antigas do Windows Update era fazer o
download de uma lista completa de atualizações e
então filtrar os dados relevantes no computador do usuário — isso sem
transferir qualquer informação significativa à
Microsoft.

O problema não se aplica apenas às atualizações de drivers. O sistema de
filtragem de servidores também poderia
determinar quais softwares estão instalados na máquina do usuário.

Imagine que a Micrisoft pode saber se você usa um browser Mozilla 1.0,
criar uma categoria de produto chamada mo10,
adicionar uma regra para determinar se o Mozilla 1.0 está instalado e
depois retornar esta categoria de produto quando o
Windows Uptade enviar uma solicitação ao servidor da Microsoft.

Categorias de produtos mais recentes também poderiam ser utilizadas para
motivos mais nobres, tornando tecnicamente
simples a abertura do Windows Update para outros fornecedores de
software, contando com a habilidade do componente
COM para listar os fornecedores de todos os pacotes de software
instalados nas máquinas dos usuários. A prática não é
utilizada, atualmente, mas pode tornar-se um grande problema de
privacidade no futuro.

Para ler a versão completa deste artigo, em inglês clique aqui.

                                                             [ Mike
Hartmann - tecChannel, Alemanha ]

Notícias relacionadas:
· Microsoft desenvolve tecnologia para reforçar segurança
· Microsoft aproxima Windows do Macintosh
· Versão beta do Office 2003 vaza na Web