Ads 468x60px

terça-feira, 6 de novembro de 2012

Bomba.: Microsoft sabe tudo o que você instala no seu Windows 8!

Bom, tudo bem que todo software possui falhas, bugs etc, e isso é normal, mas convenhamos que segurança nunca foi o forte da Microsoft. É bem verdade, também, que a Microsoft libera atualizações de segurança e privacidade constantemente para seus softwares (constante até demais), só que dessa vez a empresa decidiu  fazer o caminho inverso e inseriu no Windows 8 uma funcionalidade anti-privacidade um tanto quanto polêmica: o S.O envia dados de TUDO o que é instalado no sistema pelo usuário.

Essa nova funcionalidade do Windows 8, conhecida como Windows SmartScreen, se encontra ativada automaticamente no S.O, por padrão, e tem o intuito de verificar todos os programas que serão instalados na máquina a fim de checar se eles são confiáveis ou não e se é seguro continuar com a instalação. Até aí tudo bem, só que - como diz o ditado - de boas intenções, o inferno está cheio! O hacker Nadim Kobeissi, especialista em segurança da informação, analisou o SmartScreen e descreveu seu funcionamento. Ele funciona mais ou menos assim:
  • Você baixa da internet um arquivo de instalação de um programa qualquer; 
  • Ao executar o instalador, o SmartScreen coleta informações sobre o programa que será instalado e envia tudo para a Microsoft; 
  • A Microsoft, então, envia ao usuário a informação de que o programa é confiável ou não.
Mensagem de erro caso a Microsoft não considere o programa confiável

Onde mora o problema? Vou dizer! Segundo a Microsoft, o SmartScreen envia ao servidores da empresa um código hash do instalador (como se fosse um DNA que identifica o programa) e sua assinatura digital, caso tenha, e o IP da máquina do usuário. Pois é, uma simples combinação entre o código hash do programa e o IP do usuário já é o bastante para mostrar que houve uma tentativa do IP "X" de instalar o programa "Y". Isso é muito perigoso e caracteriza um problema sério de privacidade, pois a Microsoft é um centro de coleta e retenção de dados e isso a transforma, de certa forma, em um alvo de intimações judiciais ou das famigeradas Cartas de Segurança Nacional utilizadas nos EUA com o intuito de permitir o monitoramento de usuários.

A Microsoft, por meio de seu porta-voz, negou ao site The Verge que o SmartScreen viole a privacidade dos usuários e deu a seguinte declaração:
Nós podemos confirmar que não estamos construindo uma base de dados com o histórico de dados sobre programas e IP dos usuários. Assim como todo serviço online, endereços IP são necessários para se conectar a nosso serviço, mas nós periodicamente os deletamos dos nossos logs. Como indica nossas declarações de privacidade, nós tomamos atitudes para proteger a privacidade dos nossos usuários no back-end. Nós não usamos estes dados para identificar, contatar ou personalizar propagandas para nossos usuários, e não os compartilhamos com terceiros.
Eu, sinceramente, não confio muito nessa declaração da Microsoft. Você confia?


[Fonte: Unity 3D Brasil]

Um comentário: