Браузер Edge отправляет на сервис SmartScreen незашифрованные сведения о сайтах, открытых пользователем. Данные передаются по защищенному каналу, но URL при этом не хешируется. По мнению ИБ-специалистов, это может стать причиной раскрытия конфиденциальной информации о работе с интернет-обозревателем. Представители Microsoft отметили, что возможность подобных действий описана в документации браузера.

Как выяснил эксперт по информационной безопасности Мэтт Уикс (Matt Weeks), при открытии веб-ресурса Edge передает его URL на сервис SmartScreen для анализа. Фильтр безопасности сверяет адрес сайта со своей базой данных и, при необходимости, выдает пользователю предупреждение. Все операции осуществляются по HTTPS-каналу, однако ссылка попадает к Microsoft в открытом виде.

Вместе с адресом разработчики получают и уникальный идентификатор пользователя (SID), привязанный к аккаунту Windows. Таким образом, у вендора есть возможность отслеживать перемещения владельца браузера.

Получив информацию от Уикса, специалисты Bleeping Computer провели собственное исследование и выяснили, что технология SmartScreen используется Защитником Windows для предупреждения о запуске небезопасных файлов, загруженных из Сети (на Windows 10 опция проверки файлов и приложений по умолчанию включена). Так же, как и в случае с веб-серфингом, система накапливает незашифрованные данные — исходный URL скачанного объекта и полный путь к файлу, записанному на диск.

По мнению разработчика Edge, браузер работает корректно

Официальной реакции Microsoft на эту информацию не последовало, однако один из разработчиков Edge, Эрик Лоуренс (Eric Lawrence), прокомментировал возмущенные реплики пользователей в Twitter. По словам специалиста, в документации браузера прямо указано, что при использовании SmartScreen он передает информацию о подозрительном сайте или файле насервис Microsoft по защищенному каналу (HTTPS).. Позже ИБ-аналитики отметили, что актуальная версия интернет-обозревателя, созданная на базе движка Chromium, более не отправляет SID на серверы компании.

Весной этого года независимый исследователь Джеймс Ли (James Lee) опубликовал эксплойт для обхода правила ограничения домена в Edge и Internet Explorer. Как утверждает ИБ-специалист, его PoC позволяет выполнить сторонний код в среде браузера и похитить конфиденциальную информацию, однако Microsoft несколько месяцев не реагирует на сообщения о проблеме. Сторонние эксперты подтвердили наличие ошибки и работоспособность выложенного кода.

Категории: Кибероборона