W piątek informowaliśmy o wpisie na blogu znanego badacza bezpieczeństwa komputerowego, Nadima Kobeissiego, który dotyczył najnowszego systemu operacyjnego Microsoftu – Windowsa 8. Kobeissi stwierdził, że funkcja SmartScreen, zastosowana w systemie, przesyła do Microsoftu informacje o instalowanym oprogramowaniu. Microsoft odpowiedział na jego teorię i określił ją jako nieprecyzyjną.
Technologia SmartScreen odpowiada za bezpieczeństwo użytkownika, informując, która z uruchamianych aplikacji rozpoznawana jest jako potencjalnie szkodliwa. Cały mechanizm działa w oparciu o zgłoszenia użytkowników, które są analizowane przez Microsoft. Jeżeli okaże się, że program faktycznie wykazuje szkodliwe działanie, jest on dodawany do bazy.
Według Kobeissiego, główny problem SmartScreena polega na sposobie w jaki przesyłane są dane na linii użytkownik – Microsoft. W tym celu wykorzystywany jest protokół SSL 2, w których wykryto luki bezpieczeństwa. Badacz zarzuca Microsoftowi również, że może on zbierać informacje pochodzące od użytkowników w celach statystycznych.
Reakcja Microsoftu była szybka. Firma zaprzeczyła, że zbiera jakiekolwiek informacje dotyczące użytkowników – wszystkie adresy IP są usuwane. Firma postarała się również o aktualizację wykorzystywanego protokołu – od teraz jest to już SSL 3.
Źródło: Register
“Reakcja Microsoftu była szybka. Firma zaprzeczyła, że zbiera jakiekolwiek informacje dotyczące użytkowników – wszystkie adresy IP są usuwane. Firma postarała się również o aktualizację wykorzystywanego protokołu – od teraz jest to już SSL 3.”
… i otwarcie kodu, aby każdy kto chce mógł się upewnić, że jest faktycznie tak jak firma mówi.