Скрита функция в Windows 8 с название Windows SmartScreen изпраща на Microsoft информация за всяко приложение, което потребителят сваля от интернет и инсталира в системата си, съобщава Boy Genius Report като се позовава на програмиста Надим Кобейси, който пръв е открил тази функция.
Предназначението на SmartScreen е защита на потребителя от вреден софтуер. Данните се изпращат тогава, когато потребителят стартира инсталационния файл. След като Microsoft получи данните, тя проверява програмата за наличие на сертификат. Ако такъв липсва, излиза съобщение, че този софтуер може да навреди на компютъра.
Информацията между SmartScreen и сървъра на Microsoft обаче може да бъде прихваната и странични лица да разберат за всяко инсталирано приложение на всеки конкретен потребител (изпращат се и IP-адресите), предупреждава програмистът. Задачата на хакерите се улеснява от самата софтуерна компания – по думите на Кобейси тя използва стар и ненадежден протокол за криптиране на предаваните данни – SSLv2.
Кобейси отбелязва, че изпращаната информация може да бъде използвана и от правоохранителните органи за откриване на притежатели на компютри с нелицензирани програми. Microsoft може и сама да използва тези данни срещу пиратите, както това прави Adobe, разработчикът на Photoshop.
Функцията SmartScreen по подразбиране е включена. Ако тя бъде изключена (което не е толкова просто), Windows постоянно ще напомня на потребителя да я включи.
„Ние подчертаваме, че не трупаме бази данни с информация за програмите на потребителите и техните IP-адреси, – съобщават от Microsoft в отговор на запитване от BGR. – Както в случая с всички онлайн услуги, IP адресите са необходими за достъп, но ние периодично ги трием от нашите логове. Съгласно нашата политика за безопасност, предприемаме необходимите мерки за защита на личния живот на потребителите и не използваме данните за идентификация, връзка или таргетирани реклами, както и не ги предаваме на трети страни“.
14 часа след публикуване статията на Кобейси в неговия личен блог, Microsoft се отказа от използване на остарелия протокол SSLv2 и премина на по-новия стандарт SSLv3.
