你信任的公司正在窃取你的信息

通常来讲，“购买新产品” 指的是这样的交易过程：购买食物时，可以先确认食材然后购买它，即使难吃也不会要了你的命；购买汽车时，首先它得符合所有安全标准；为特定目的购买配件时，不合格就可以要求退款。到了购买软件这里，规则大抵类似；然而，市面上却出现了新问题：数据被盗。

当我们在我们的计算机和移动设备上安装软件时，我们大多数人都认识到他们的评估版或免费版会试图诱使我们购买带有附加功能的完整版——这就是他们赚钱的方式。但是，我们大多数人从未想过软件供应商可能从我们的设备中窃取我们的某些私密信息。我们决定调查一些供应商，其部分结果却有点令人不寒而栗。

例如，最近法国数据保护机构国家信息与自由委员会（CNIL）对微软的一份声明中称，微软显然对用户数据采取了侵权行为。

隐私设置界面

虽然Microsoft（微软）提供了许多设置，您可以禁用这些设置以阻止它们获取您的个人信息（PI），但默认情况下这些设置都不会被禁用，并且其中许多设置很难禁用。此外，对于隐私权倡导者而言，Microsoft向用户提供的控制措施不足以阻止操作系统联网并与服务器通信。换句话说，即使您关闭所有共享选项，Microsoft仍然会将一些数据发送回总服务器。

我怎样才能确认微软“窃”走了什么？

首先，让我们来看看默认情况下微软从用户那里拿到了什么信息。如果您手里有原装Win 10计算机或自行安装Windows 10的过程中选择了“使用快速设置“，此时您的Windows 10就是默认设置，也就是——最不尊重您隐私的状态：

默认设置下，将允许Microsoft检索有关您的联系人，日历详细信息，文本和触摸输入，位置数据等信息。操作系统将此信息发送回Microsoft，用于个性化和定向投放广告。

Windows 10操作系统需要这些细节信息主要是为了Cortana，微软的智能个人助理。由于Cortana依赖于个人的语音输入，日历详细信息和联系人等隐私，因此需要您允许Microsoft访问这些详细信息才能运行Cortana。反过来讲，禁用此类访问将禁用Cortana等个性化功能。

考虑过这一点后，让我们再来看一下即使您关闭了所有默认隐私设置，Microsoft也可以访问的信息：

即使在我禁用能找到的所有内容之后，我注意到某些形式的元数据仍然每隔5分钟发送给Microsoft。Microsoft 通过80端口上的HTTP 连接与ssw.live.com通信。内容的加密方式使得我无法确定发送的内容。这是一个意义颇深的选择，因为微软本可以通过443端口经HTTPS发送数据，以防止窃听者查看数据; 相反，他们却在80端口上使用了未加密的HTTP连接。加密的额外工作表明Microsoft不仅不希望机器的非授权用户访问数据——他们同样不希望实际用户知道发送了什么。

被加密的信息

当我们更深一步挖掘时，我们发现有一个名为Allow Telemetry的策略组，该策略组可设置将多少遥测数据发送回Microsoft。

策略组

遗憾的是，我们发现完全禁用此功能的唯一方法是购买Windows 10的企业版。因此，我们怀疑，发送到ssw.live.com的这些加密数据包含有关您的个人资料的详细信息。如果不出意外，它可能包含您的互联网IP地址，因为其可以提供近似的地理位置，而这是与Microsoft建立连接所必需的。

使用NetFlow和DNS，我们还可以看到有关发送给Microsoft的内容的一些详细信息。

看看下面的图片。您会注意到其中两者之间的关联之处：

• dmd.metaservices.microsoft.com/dms/metadata.svc
• ssw.live.com/UploadData.aspx

两者都包含有关您和您的设备的信息，具体取决于您在Windows 10隐私设置中选择的设置。

你能完全阻止这种流量吗？

现在您已经知道数据的发送位置，因此采取某些措施来阻止Microsoft访问你的信息变得更简单了。您可以借此来完全阻止这种流量。

1. 禁用遥测（仅限企业版）

• 通过在Windows 10中设置禁用遥测（以及所有其他隐私设置），您可以阻止Microsoft访问您的数据。然而，这仅适用于Windows 10和Windows Server的企业版。

2. 阻止访问Microsoft服务器

• 通过查找Windows 10连接到的服务器，您可以通过设置防火墙规则阻止对这些服务器的访问等。例如，如果我查找dmd.metaservices.microsoft.com，我可以找到有四个关联的IP地址（65.55.113.11,65.55.113.12,65.55.113.13和134.170.30.221）。将这些IP地址添加到防火墙黑名单将阻止数据被发送。但是，您这样做时应当保持谨慎，因为一方面Microsoft可能会更改这些IP，另一方面这样做可能会阻止更多很关键的服务，例如Windows Update。

3. 通过DNS阻止访问

• 由于我们知道Microsoft通过两个DNS名称（ssw.live.com和dmd.metaservices.microsoft.com）获取数据，因此我们可以在公司DNS中创建一个条目，将流量重定向到这些域到另一个位置（例如127.0.0.1） ）。这将有效地阻止Microsoft访问您的数据。但请记住，Microsoft可能会在将来的Windows 10发行版/更新中更改这些域，您需要同步地更新它们。

无论您选择哪个选项，都应该确保无时无刻地阻断此类流量发送，（比如在第三种方法里）保证您在公司网络外部连接时，同样不会发送您的隐私数据。

Barnacules Nerdgasm发布过一个很棒的YouTube视频，其中展示了如何通过纯净安装或更改设置阻止此类访问。

还有其他公司这样做吗？

1. 缤特力

虽然很希望微软是个个例，但可惜无独有偶。Plixer最近发现，我们使用并通过Plantronics Hub连接到PC的Plantronics耳机通过HTTP的80端口发送加密数据，且无法解码。

Plantronics没有使用TLS（HTTPS）来加密数据，而是采取了额外步骤以确保使用TLS DPI或中间人（MITM）技术无法轻松地解密消息。我们还发现他们经常发送信息; 事实上，他们每分钟都会向api.plantronicsmanager.com发送消息。我们想知道他们发送的信息是什么，何况截至本文发表时Plantronics EULA中没有任何内容提到这种行为。我们担心他们会收集我们拨打的电话号码，或是当前通话质量的详细信息（例如抖动，数据包丢失等）。作为消费者，我们确实总是想知道他们从我们的计算机中获取了哪些信息。就Plantronics而言，似乎我们别无所获。

在早期版本的Plantronics（HUB 3.7.1）中，我们发现了一个最新版本（HUB 3.8.2）中似乎没有的设置。

版本3.7.1：

版本3.8.2：

显然，这如果意味着Plantronics渐渐不再希望客户能够关闭反馈功能，那可有些令人担心。

偷偷摸摸地反馈

为了使信息反馈不那么明显，Plantronics将数据发送到亚马逊AWS托管的IP地址。我们通过使用Scrutinizer事件响应系统将DNS记录与NetFlow数据相关联，最后发现了这一点。请注意，在从源到目的地的相连之前（~ computer.amazonaws.com），机器在Dst FQDN上查找了：api.plantronicsmanager.com。

安装Plantronics HUB v.3.7.1后的截图。

安装Plantronics HUB v.3.8.2后的截图。

对比发现，在 v.3.8.2 里他们不仅将内容交付网络从Amazon AWS更改为Akamai Technologies，而且还开始将数据发送到其他FQDN：firmware.plantronics.com。

由于无法将软件配置为不将信息发送回Plantronics，我们决定通过重定向指向planstronicsmanager.com二级域的DNS查找请求来阻断这部分流量 。

在通过他们的在线聊天服务与Plantronics 讨论上述内容后，他们立刻噤声并终止了聊天会话。

2. 迈克菲

另一家我们注意到从我们的设备发送数据的公司是McAfee（现在是Intel Security的一部分）。他们在我们的台式机和笔记本电脑上提供防病毒软件。然而，McAfee的行为有所不同；他们会使用DNS查找而不是HTTP / HTTPS发送数据，例如发起许多有深意的DNS查询：

a-.19.a7000001.90d0083.1644.1ff1.36d4.210.0.pse53rw8vethftele7m28hf5uv.avts.mcafee.com

上述DNS查询特别麻烦，因为许多公司的上述DNS查询绕过了安全机制。我们相信这正是迈克菲使用这种策略的原因。

以下是DNS如何发送数据的概要：

1. 我的电脑上的软件想要建立与域名mcafee.com的连接
2. 我的PC检查其本地缓存和host文件，看它是否可以在本地解析域名。如果不能，它会访问公司DNS。
3. DNS尝试解析FQDN（即上面的非常长的字符串），但没有做到，这意味着它必须通过访问它的根服务器并至少访问mcafee.com尝试解决问题。
4. mcafee.com的权威DNS 接收了这一串非常长的字符串，记录下来，但不作回复或发回NXDomain消息告诉您无法解析。

隐藏在很长的一串：

-0.19a7000001.90d0083.1644.1ff1.36d4.210.0.pse53rw8vethftele7m28hf5uv.avts.mcafee.com

中的是一种加密消息，或许会经过解析，存储并最终成为McAfee“大数据”的一部分。

在某种意义上，上述策略使用本地DNS作为代理来建立一种DNS隧道，以便在不直接连接到Internet的情况下将信息从公司中取出。最终，DNS为整个系统干了脏活。

虽然我们认可McAfee是一个友好的供应商，但我们想知道他们发送了什么，我们希望能够使用传统上可以接受的解密方法对其进行解密，且我们希望这种行为是能关闭的。与Plantronics一样，信息以荒谬的方式发送，防止除McAfee以外的任何人知道数据中包含的详细信息。

行动呼吁

急于收集大数据以对客户进行分析，大公司们的这些举动正在撬动信息窃取的道德边界。我们担心的是，我们信任的供应商正在采取过度自由的方法来获取我们的个人身份信息（PII）。

现在可能是我们的政府进行干预并参与制定立法以阻止他们这样做的时候了。法律应涵盖但不限于：

• 托管正在采集的数据的公司所采用的无法解密的专有加密方法。消费者应该能够查看偷跑的流量。
• 最终用户许可协议（EULA）必须清楚地披露从消费者设备获取的100％信息。
• 信息反馈必须使用HTTPS或其他政府批准的方法。例如，像McAfee 那样借助DNS系统来打通隧道运输信息就不该被允许。
• 如果软件允许用户禁用某些隐私设置，则必须清楚地指出另一些无法被关闭的隐私设置和将要发送的信息有哪些。

阻止盗窃的方法

通过简单观察流量分析，您可以判断哪些应用程序正在反馈信息。不要单独依赖数据包捕获或NetFlow / IPFIX分析。为了获得对这些数据盗窃行为的100％可见性，请将信息流与DNS日志相关联。这样可以披露那些表面与Plantronics通信，实际连接着Amazon AWS和Akamai Technologies的连接。一旦识别出所请求的初始域名，就可以在DNS处阻止或重定向它。

更希望我们的政府能够参与进来，因为我们担心，不久之后单方面禁用流量终将影响到我们运营所需的软件。

联系Plixer可以了解有关此类窃取隐私的更多内容。