Nadim Kobeissi pode ser jovem, mas este hacker e programador já fez mais na luta pela privacidade e direitos na internet que muitos de nós jamais faremos. Agora, ele esclarece como a Microsoft pode saber de tudo que você instala em dispositivos com Windows 8.

Eu venho usando recentemente a versão final (RTM) do Windows 8 em um dos meus computadores, e gosto bastante. Fiquei impressionado como esta última versão do Windows é rápida, funcional e competente, além de ter um bom design. No entanto, ao explorar um pouco, o quesito segurança/privacidade me deixou preocupado.

Microsoft sabe de todo app instalado

O Windows 8 tem uma nova função chamada SmartScreen, que fica ativada por padrão. O propósito do Windows SmartScreen é examinar cada aplicativo que você tenta instalar da internet para lhe informar se é seguro proceder com a instalação. Eis como ele funciona:

  • Você baixa qualquer aplicativo da internet. Por exemplo, o Tor Browser Bundle, que impede qualquer um de espiar sua conexão.
  • Você abre o instalador. O Windows SmartScreen coleta alguns dados de identificação sobre o aplicativo, e envia tudo para a Microsoft.
  • Se a Microsoft responder dizendo que o aplicativo não é assinado com um certificado adequado, o usuário recebe uma mensagem de erro bem semelhante a esta.

Há alguns problemas sérios aqui. O grande problema é que o Windows 8 é configurado para dizer imediatamente à Microsoft tudo o que você baixa e instala.

De acordo com a Microsoft, o SmartScreen envia um hash do instalador e sua assinatura digital, se tiver. Mas uma combinação do hash e do IP do usuário já é o bastante para identificar que o endereço IP “X” tentou instalar o software “Y”.

Outro pesquisador descobriu que o nome do app que você tenta instalar é enviado para a Microsoft. Isto aumenta ainda mais a preocupação com privacidade.

Este é um problema sério de privacidade, especificamente porque a Microsoft é um ponto central de autoridade e coleta/retenção de dados, e portanto se torna vulnerável a receber intimações judiciais ou, nos EUA, Cartas de Segurança Nacional com o objetivo de monitorar usuários-alvo. Esta situação pode ser pior em países que passam por instabilidade ou repressão política.

Segurança

O problema, no entanto, podia ficar ainda mais sério: até hoje, seria possível interceptar as comunicações do SmartScreen com a Microsoft, e assim aprender sobre todo aplicativo baixado e instalado por um alvo. Eis minha análise.

Uma rápida captura de pacote mostrou que a seguinte atividade aconteceu imediatamente quando eu tentei instalar o Tor Browser Bundle:

O SmartScreen parece se conectar via HTTPS a um servidor em Redmond (apprep.smartscreen.microsoft.com, 65.55.184.60, que pertence à Microsoft) para comunicar informações sobre o aplicativo que eu tentava instalar.

Depois de alguns testes neste servidor da Microsoft, eu descobri que ele usa o Microsoft IIS 7.5 para lidar com suas conexões HTTPS. O servidor da Microsoft era configurado para dar suporte a SSLv2, que é conhecido por ser inseguro e suscetível a intercepção. A cadeia SSL Certificate Authority descia de “GTE CyberTrust Global Root” para “Microsoft Secure Server Authority”. Este modelo de certificado é suscetível a alguns problemas sérios.

Aproximadamente 14 horas depois que este artigo foi originalmente publicado, um novo teste nos servidores do SmartScreen revelou que eles foram reconfigurados para não dar mais suporte a SSLv2. Os servidores agora só suportam SSLv3.

Microsoft responde

A Microsoft nega ao The Verge que o SmartScreen viole a privacidade dos usuários. Um porta-voz da empresa diz:

Nós podemos confirmar que não estamos construindo uma base de dados com o histórico de dados sobre programas e IP dos usuários.

Assim como todo serviço online, endereços IP são necessários para se conectar a nosso serviço, mas nós periodicamente os deletamos dos nossos logs. Como indica nossas declarações de privacidade, nós tomamos atitudes para proteger a privacidade dos nossos usuários no back-end. Nós não usamos estes dados para identificar, contatar ou personalizar propagandas para nossos usuários, e não os compartilhamos com terceiros.

Além disso, o porta-voz diz que “o Windows SmartScreen não usa o protocolo SSL2.0”.

Mesmo assim, eu acredito que a decisão da Microsoft em deixar o SmartScreen tão suscetível a invasões de privacidade é uma escolha muito ruim. Além disso, não é fácil desativar o SmartScreen, e quando você o desativa, o Windows periodicamente avisa ao usuário que ele deveria reativá-lo:

***

Republicado (com adaptações) de Nadim Kobeissi. Além de desenvolver o Cryptocat, ele escreve regularmente no Twitter e em seu blog pessoal.