如果您使用 Windows,您可能(新視窗)至少(新視窗)隱約察覺到(新視窗)您的筆記型電腦正在對您進行監視(新視窗)。本週,我們收到了一個具體的提醒,再次證實了 Microsoft 無所不在的作業系統對隱私(新視窗)侵犯(新視窗)程度有多深。

被懷疑是惡名昭彰的犯罪駭客群組 Scattered Spider(新視窗) 成員的 19 歲青年 Peter Stokes,已從芬蘭被引渡至美國,並被指控入侵 “Company F,一家奢華珠寶零售商。”

然而,讓這個案件引人入勝的地方,在於他是如何被捕的。

作為間諜軟體的 Windows

根據 FBI 的刑事起訴書(新視窗),Stokes 使用了 VPN 來隱藏其線上活動。這被廣泛認為是一個明智的選擇,因為 VPN 能向您造訪的網站隱藏您的真實 IP 位址,並向您的 ISP 隱藏您的線上活動。但他犯了一個致命的新手錯誤:他使用了 Windows。

當局利用 Microsoft 的紀錄識別出了 Stokes,這些紀錄將他的電腦與對 ngrok 的可疑使用連結在一起。ngrok 是一種網頁開發通道工具,曾被用來 “規避 Company F 的網路防禦,並啟用對 Company F 資料中心持續性的未授權存取。”

Microsoft 之所以能夠識別 Stokes 的電腦,歸功於其 Global Device Identifier (GDID),這是一個 “旨在唯一識別裝置上安裝之 Windows 作業系統的裝置級別識別碼。”

換句話說,每次安裝 Windows 都會有一個 GDID,Microsoft 可以使用它來識別裝置(包括虛擬裝置),並收集遙測資料(新視窗)。重新安裝 Windows 會為該裝置建立一個新的 GDID,但不會從 Microsoft 的系統中消除舊的 GDID,因此它仍可用於識別裝置。

Microsoft 隨後將此資訊交給了第三方。

FBI 如何利用 Microsoft 提供的資訊

單憑此證據並不足以將該罪行與 Stokes 連結,但得知 GDID 後,FBI 掌握了其裝置在過去一段時間內曾存取過的 IP 位址歷史紀錄。為了證明這些 IP 確實屬於 Peter Stokes,調查人員將此 IP 歷史紀錄與已知屬於他的帳號登入紀錄進行了交叉比對,包括 Apple、Snapchat、Facebook 以及他的 Growtopia 遊戲登入。

根據起訴書,將 GDID 連結至已知屬於 Stokes 的帳號,有助於證明用於入侵該珠寶商的 GDID 屬於 Stokes 所擁有的裝置。

調查人員表示,以這種方式識別出的其中一個 IP 位址屬於紐約的一家飯店,該飯店與一張顯示 Stokes 用一疊 100 美元鈔票遮住臉的 Snapchat 自拍照中所顯示的室內裝潢相符。這對他的案件可能毫無幫助。

涉嫌駭客的定罪自拍照

這對我們其他人意味著什麼?

首先要強調的是,在此案件中,系統運作如預期。

Stokes 面臨的指控包括共謀、網路入侵以及與 2022 年以來超過 100 起企業入侵事件中逾 1 億美元贖金支付相關的詐欺罪。FBI 對 Microsoft 資料的使用符合需要法院命令和傳票的法律框架。

但 GDID 對使用者同意權,以及您付費購買的硬體實際擁有權是誰等問題,提出了重要的質疑。您從未被要求同意在您的裝置上使用 GDID,且沒有簡單的方法可以將其移除。即使完全重新安裝 Windows,也只能解決部分問題。

在 Microsoft 所有廣泛的線上說明文件中,GlobalDeviceId 僅被提及了一次,被埋藏(新視窗)在一個極其晦澀難懂且幾乎不可能有人會去閱讀的技術文件中。

然而,不可否認的是,所有其他主要的商業作業系統(例如 macOS、Android 和 iOS)也幾乎肯定能向其製造商唯一識別裝置。不幸的是,我們大多數人只是默默接受了這種情況。

對於不接受這一點的人來說,唯一切實可行的規避方法是使用開放原始碼作業系統,例如 Linux。