让信息安全
变得简单

研究发现Microsoft Edge具有侵犯隐私的遥测技术

尽管Microsoft Edge与流行的Chrome浏览器共享相同的源代码,但它为用户提供了更好的隐私控制。不过,新的研究表明,与其他浏览器相比,它可能具有更多的侵犯隐私的遥测技术。

根据Microsoft的说法,遥测是指由遥测组件或浏览器的内置服务上载的系统数据。遥测功能并不是Microsoft的新增功能,该公司一直在使用Windows 10中的遥测数据来识别问题,分析和修复问题。

爱尔兰三一学院的计算机系统主席Douglas J Leith教授  测试了六个Web浏览器,以确定它们共享的数据。在他的研究中,他对基于Chromium的Microsoft Edge,Google Chrome,Brave,俄罗斯的Yandex,Firefox和Apple Safari进行了分析。

不幸的是,Microsoft Edge在各种隐私测试中表现不佳。

Microsoft Edge中的遥测太多

在测试Edge浏览器时,Leith看到输入到Edge中的每个URL都将发送回Microsoft网站。

例如,在地址栏中键入的每个URL均与Bing和其他Microsoft服务(例如SmartScreen)共享。这是由BleepingComputer确认的,他使用Fiddler来查看发送到Microsoft的JSON数据。

未隐藏的URL被发送到SmartScreen
未隐藏的URL被发送到SmartScreen

可以使用类似于Google的“安全浏览”实施的技术来解决此问题,该技术可以下载已知恶意网站的列表并将其保存在本地。该列表由浏览器检查,如果需要将任何数据发送到Google的服务器,则只会发送可用于跟踪浏览行为的哈希的部分URL指纹。

浏览器还将唯一的硬件标识符发送给Microsoft,这是一个“坚固而持久的标识符”,不能轻易更改或删除。

正在发送用户跟踪信息
正在发送用户跟踪信息

俄罗斯网络浏览器Yandex也从事类似的反隐私活动:

From a privacy perspective Microsoft Edge and Yandex are qualitatively different from the other browsers studied. Both send persistent identifiers than can be used to link requests (and associated IP address/location) to back end servers. Edge also sends the hardware UUID of the device to Microsoft and Yandex similarly transmits a hashed hardware identifier to back end servers. As far as we can tell this behaviour cannot be disabled by users. In addition to the search autocomplete functionality that shares details of web pages visited, both transmit web page information to servers that appear unrelated to search autocomplete.

请务必注意,Microsoft Edge for Enterprise在部署中为管理员提供了很多控制权,以禁用所有这些跟踪器,但是默认情况下,所有Edge安装中都启用了跟踪器。

尽管Microsoft Edge在测试中表现不佳,但研究人员还质疑了 Chrome和其他浏览器的行为。

用户以前已经注意到,Chrome浏览器会扫描整个计算机,并将可执行程序的哈希报告给Google,以构建Chrome的安全浏览平台。

Chrome,Firefox和Safari通过其服务共享您访问的每个网页的详细信息。所有这些浏览器都使用自动完成功能将网址实时发送到其服务。

Firefox的 遥测传输(默认情况下是默默启用的)可能会随着时间的推移而用于链接它们。据研究人员称,在Firefox中,还有一个用于推送通知的开放式WebSocket,它链接到一个唯一的标识符,该标识符可用于跟踪。

 

*编译:Domino

*来自:Bleeping

分享到: 更多 (0)