Een ontwikkelaar meent dat Microsoft in Windows 8 een standaard functie heeft ingebouwd waarmee de privacy wordt geschonden. SmartScreen is bovendien onveilig.

Volgens ontwikkelaar Nadim Kobeissi schendt Microsoft met het standaard ingebakken SmartScreen de privacy van alle toekomstige gebruikers van Windows 8. De functie stuurt volgens hem standaard data door aan Microsoft over elke applicatie die wordt ge´nstalleerd en koppelt deze aan een persoonlijk IP-adres. SmartScreen zou bovendien aantrekkelijk zijn voor hackers met snode plannen.

Kobeissi testte de definitieve release van de ontwikkelaarsversie van het nieuwe Windows en bleek onder de indruk van de snelheid, functionaliteit en het design, zo schrijft hij op zijn blog. Maar bij nader onderzoek stuitte hij op de werking van SmartScreen, dat in zijn ogen standaard inbreuk maakt op de privacy.

Zeer ernstig privacyprobleem
Dat doet SmartScreen door als default bij het installeren van applicaties - buiten de Windows Store om - een pakketje data naar Microsoft te verzenden. De gebruiker krijgt vervolgens data terug waarin Microsoft zijn oordeel velt over de vreemde applicatie, waaraan bijvoorbeeld een risicowaarschuwing kan zijn gekoppeld. Goedkeuring van een extern programma kan natuurlijk ook.

Het scherm dat SmartScreen toont bij een mogelijk risico:



Toch wringt daar de schoen volgens Kobeissi. Van elke gebruiker worden namelijk gegevens verzameld. "Dit is een zeer ernstig privacyprobleem. Vooral omdat Microsoft op deze manier een centraal punt van gezag wordt dat alle gegevens van zijn gebruikers verzamelt. In het geval van een dagvaarding of andere monitoring zijn gebruikers kwetsbaar", meent de ontwikkelaar die ook vreest voor de privacy van Windows 8-gebruikers in landen met politieke onrust.

Data onderscheppen is gemakkelijk
Dan is er nog de kwestie van veiligheid. Volgens Kobeissi is het voor aanvallers mogelijk om de data van SmartScreen te onderscheppen, vanwege de gedateerde methode die Microsoft gebruikt bij versturen van de data van en naar de SmartScreen-functie. Deze datastroom loopt met een HTTPS-verbinding via een server in Redmond. Deze server is geconfigureerd om SSLv2 te ondersteunen. Een protocol dat volgens hem bekend staat om zijn onveiligheid.

Aanvallers kunnen hierdoor gemakkelijk gebruiksinformatie verzamelen over Windows 8-gebruikers. Via SmartScreen kunnen zij precies zien welke applicaties iemand heeft ge´nstalleerd en ook hun computergebruiken leren. Met dit bij elkaar verzamelde profiel kunnen hackers in de ogen van de ontwikkelaar zo goed voorbereid de aanval kiezen.

Slechte keuze van Microsoft
Kanttekening bij de bevindingen van Kobeissi is dat veel besturingssystemen een dergelijk autorisatiesysteem gebruiken bij het installeren van nieuwe applicaties. De reden daarvoor is om 'foute' applicaties te weren voordat deze schade kunnen aanrichten. Deze controlerende functie werkt in principe als een extra firewall. Een voorbeeld is de strenge Mac App Store bij Apple.

Maar in de huidige tijd waarin veel aandacht is voor privacy en veiligheid is SmartScreen volgens Kobeissi een erg slechte keuze. "Ik hoop dat deze bevindingen in de nabije toekomst leiden tot updates met betrekking tot SmartScreen."