當前位置:係統粉 >   IT資訊 >   微軟資訊 >  Win10收集用戶信息?抓包分析及應對策略來啦!

Win10收集用戶信息?抓包分析及應對策略來啦!

時間:2018-04-17 來源:互聯網 瀏覽量:

Win10作為微軟推出的最新Windows係統,相對於Win7/8/8.1等版本加入了許多新功能,比如Cortana小娜、Windows Hello等,整體功能有所加強。然而,這些新功能的體驗需要用戶個人數據的支撐,收集的數據越全麵,用戶體驗就越好。

事物都有兩麵性,在擁有好的體驗的同時,數據的收集與泄露風險也將隨之而來。微軟官方曾發出隱私聲明,聲明中明確說明了會收集用戶信息,可能包括姓名和聯係人數據、憑據(如密碼)、統計數據(如年齡、性別、所在國家地區)、付款信息、設備和使用情況信息、興趣愛好、與聯係人的關係(如Outlook.com管理聯係人)、位置數據、通信內容(如Skpye傳輸的文件通信內容)。

本期,ISEC實驗室的老師為我們帶來Win10收集用戶信息的抓包分析,以及不同應對措施下的分析比對和總結。

Win10收集用戶信息?抓包分析及應對策略來啦!(1)

Win10收集用戶信息抓包分析

Wireshark抓包分析

環境:上網機安裝VMware workstations 12,然後創建Win10虛擬機(Win10企業版),Win10虛擬機上安裝wireshark,設置Nat模式共享主機網絡,選擇好抓取網絡(Ethernet0),啟動wireshark進行長時間(1~2天)分多包抓取。命令行模式抓包,如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(2)

我們先選取沒有中斷的包分析(如時間段2017.10.18_16:23 ~ 2017.10.19_09:25),在wireshark統計一欄查看IP地址使用頻率:

Win10收集用戶信息?抓包分析及應對策略來啦!(3)

然後連接的目的地址使用頻率:

Win10收集用戶信息?抓包分析及應對策略來啦!(4)

查詢IP得知,連接地址主要是Microsoft公司和Akamai Tecknologies公司,後者是雲服務提供商。通過wireshark過濾(ip過濾和dns過濾),條件為本地源地址和上述目的地址,如:ip.src==192.168.137.94 and ip.dst==23.45.232.42,如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(5)

此連接(目的IP:23.45.232.42,微軟布於Akamai網絡的服務器IP,域名為:img-prod-cms-rt-microsoft-com.akamaized.net)有TCP傳輸,並且經過TLS1.2協議加密處理,這段時間係統間斷性地向微軟上傳數據,並下載圖片文件(如Microsoft Store或Inbox MSN Apps啟動時)。

進一步分析18號9:00到14:05,即白天更新前的抓包數據,9:00抓包前特意注冊了Microsoft賬號,並用此賬號登錄計算機,然後激活了Cortana(小娜語音助手)應用。由於淩晨的更新重啟,抓包中斷,使得再次運行時虛擬機的本地IP有變動(本地IP:192.168.137.2)。

解析到微軟服務器的IP為:157.55.109.226(域名為:storage.live.com),我們有針對性地過濾此IP,得到與本地IP的互動也是TLS1.2加密過的。

Win10收集用戶信息?抓包分析及應對策略來啦!(6)

傳輸中有如下記錄:

Win10收集用戶信息?抓包分析及應對策略來啦!(7)

注冊Microsoft賬號與及激活小娜助手後,這邊多出了與Windows.live web服務平台相關的內容,如msn、郵箱、電話、Skype登入Windows live。注冊Microsoft賬號並登入後,個人的賬戶信息以及其它連帶的信息微軟都能夠收集到。

18號淩晨1點更新時做了什麼?

能夠解析到的IP隻有兩個:106.122.253.191及111.221.29.254,更新前服務器(如106.122.253.191)那邊會收集用戶信息(如係統信息):

Win10收集用戶信息?抓包分析及應對策略來啦!(8)

然後本機向au.b1.download.windowsupdate.com發出GET請求(如下圖)以便獲取操作係統補丁和更新包:

Win10收集用戶信息?抓包分析及應對策略來啦!(9)

111.221.29.254對應域名:v10.vortex-win.data.microsoft.com,用於Connected User Experiences(互聯用戶體驗)/Telemetry component(遙測組件)和連接到Microsoft Data Management service(微軟數據管理服務),幫助微軟找到和修複問題,提升產品和服務。

Fiddler抓包分析

Fiddler抓包的優點是可以抓取TLS包裏的傳輸內容,並直觀地查看。

此次Fiddler抓包時間段為:2017.10.18 18:20-2017.10.19 10:00。在此過程除了wireshark命令行同時抓包,不開啟其它運用,不做任何其它操作,Windows的網絡行為同樣豐富,如本機向應用商城的自動請求、天氣獲取、更新桌麵圖片應用(如下圖)、livetileedge活動貼片瀏覽應用相關網站GET請求、甚至Facebook訪問。

桌麵圖片更新請求:

Win10收集用戶信息?抓包分析及應對策略來啦!(10)

不做其他操作,同樣能捕捉到係統的傳輸行為,重點的POST報文(上傳動作)涉及的域名如:arc.msn.com、cn.bing.com、musicdelivery-ssl.xboxlive.com、m.hotmail.com、v10.vortex-win.data.microsoft.com。

向arc.msn.com上傳數據:

Win10收集用戶信息?抓包分析及應對策略來啦!(11)

POST內容解密後為:

Win10收集用戶信息?抓包分析及應對策略來啦!(12)

Win10收集用戶信息?抓包分析及應對策略來啦!(13)

Win10收集用戶信息?抓包分析及應對策略來啦!(14)

這邊涉及到很多內容和參數(如各種ID、國家、HTTPS=1、時間等),僅看後麵著色部分可知,它至少上傳了計算機參數,如X64代表係統是64位的、ENTERPRISE代表係統為企業版、然後是VMWARE VIRTUAL PLATFORM代表運行在VMware虛擬機平台上。

向musicdelivery-ssl.xboxlive.com上傳音頻:

Win10收集用戶信息?抓包分析及應對策略來啦!(15)

Win10收集用戶信息?抓包分析及應對策略來啦!(16)

有音頻的ID,名稱,類型,版本:

Win10收集用戶信息?抓包分析及應對策略來啦!(17)

上傳數據到m.hotmail.com:

Win10收集用戶信息?抓包分析及應對策略來啦!(18)

所謂的內容類型為應用同步,具體內容是加密的,但cookie中出現了默認的授權郵箱是24xxxxxx9@qq.com,這是用來注冊Microsoft賬戶的郵箱,注冊發生在fiddler抓包前兩小時,上傳內容包括Windows版本號,看服務器應答時間是2017.10.18 23:39:03,然後回複內容包含Outlook的相關內容,且又出現了qq郵箱,隻要和Microsoft服務掛鉤上的信息,微軟就能用上了。

可見,Win10係統與微軟的數據交互頻繁,涉及用戶的賬戶信息、設備係統信息等等,雖不能一一舉證,正如其官方的隱私聲明:隻要涉及微軟產品的各項服務的提升,就會收集用戶的“必要”信息。可以初步證實Win10係統下,本測試開始提出的微軟可能收集的具體用戶信息都有可能被上傳。

API Monitor 監測輔助分析

利用API Monitor跟蹤網絡連接時API調用,過濾條件及監測進程如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(19)

這邊微軟用到了WinHttp這一係列API進行連接,經分析捕捉到的主要進程、域名信息如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(20)

服務進程將主機名—DESKTOP-74UHBQJ作為DNS名進行詢問

Win10收集用戶信息?抓包分析及應對策略來啦!(21)

發送請求:

Win10收集用戶信息?抓包分析及應對策略來啦!(22)

查看其中的xml內容發現開始內容為:

Win10收集用戶信息?抓包分析及應對策略來啦!(23)

後邊又出現了“apimonitor-x64、Process Monitor、Procmon.exe”字眼,Process Monitor應用是為監測進程手動開啟,這邊顯然是受到Windows Defender的監測。

下麵設備數據元檢索發送的xml包含了語言國家地理等信息:

Win10收集用戶信息?抓包分析及應對策略來啦!(24)

附:本次Wireshark/Fiddler抓包ip、域名、目的情況表

Win10收集用戶信息?抓包分析及應對策略來啦!(25)

應對策略

利用ShutUp10關閉win10自動上傳功能

利用ShutUp10(安全軟件公司O&O專門針對win10開發的反監測工具)關閉相應功能或服務,如隱私(個人/APP相關)、安全、網頁瀏覽相關(特別是Edge瀏覽)、windows設置同步、Cortana語音個人助手、地理位置服務、用戶個人習慣、Windows更新、Windows資源管理器設置、Windows防禦和微軟局域網抓包、鎖屏相關等,部分停用選項如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(26)

關閉前後對比如下:

Win10收集用戶信息?抓包分析及應對策略來啦!(27)

Win10收集用戶信息?抓包分析及應對策略來啦!(28)

關閉相關功能後,抓包的量比之前少了很多,回連上傳的IP地址或域名也相應減少。

在ShutUp10關閉自動上傳功能的基礎上,利用DWS_lite強力反監測

在DWS_lite(全稱Destroy Windows Spying,GitHub上的開源程序,功能是破壞Windows 7/8/8.1/10 上的監測功能)程序操作的大多數部分是不可逆的,甚至係統還原也不能回退更改。比ShutUp10更為強力與徹底,選擇摧毀之前要先設置摧毀選項,其主界麵和小工具如下:

Win10收集用戶信息?抓包分析及應對策略來啦!(29)

Win10收集用戶信息?抓包分析及應對策略來啦!(30)

設置後回到主界麵點擊Destroy Windows10 Spying框進行監測的刪除,如下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(31)

Win10收集用戶信息?抓包分析及應對策略來啦!(32)

成功後需要重啟,以便禁用監測軟件:

Win10收集用戶信息?抓包分析及應對策略來啦!(33)

應用後的Fiddler及wireshark抓包情況如下:

Win10收集用戶信息?抓包分析及應對策略來啦!(34)

Put方法上傳到cs.dds.microsoft.com的更新數據有:設備信息(如可否更新、係統平台及其係列號(此處為VM)、係統類型、版本及版本號、所處地),用戶信息(如此處列出了默認的瀏覽器為微軟的Edge瀏覽器)。具體見下圖:

Win10收集用戶信息?抓包分析及應對策略來啦!(35)

Wireshark抓包:

Win10收集用戶信息?抓包分析及應對策略來啦!(36)

雖然在DWS_lite設置中勾選了刪除相應應用的選項框,但是Film_TV、groove music、OneNote、Phone comanion(手機助手)、相冊、Skype、solitaire collection(紙牌遊戲)、地圖、天氣、Xbox、資訊等應用並沒有刪除,所有的應用都能正常使用,在一切沒有改變的表象之下,抓包量與上傳量明顯比之前僅用ShutUp工具時要少。

利用DWS_lite完全刪除Win10 metro應用

這次是在ShutUp10以及DWS_litew完全應用(即勾上了Win10 metro應用刪除選項框)的終極情況,其中刪除應用後的界麵如下:

Win10收集用戶信息?抓包分析及應對策略來啦!(37)

與沒刪之前(下圖)的對比明顯,但還是殘留有Cortana(小娜語音助手)、微軟商城、OneDrive等。

Win10收集用戶信息?抓包分析及應對策略來啦!(38)

抓包結果:

Win10收集用戶信息?抓包分析及應對策略來啦!(39)

根據需求,使用不同版本的Win10

Windows 10家庭版擁有Windows全部核心功能。係統將會自動安裝任何安全補丁,不再向用戶詢問。

Windows 10專業版對比家庭版主要增加了一些安全類及辦公類功能。

Windows 10企業版功能最全,是針對企業用戶提供的版本,相比於家庭版本,企業版提供了專為企業用戶設計的強大功能。新增了Long Term Servicing Branches的服務,可讓企業拒絕功能性升級而隻獲得安全相關的升級。

Windows 10教育版最強大,專為大型學術機構設計的版本,具備企業版中的安全、管理及連接功能。除了更新選項方麵的差異之外,與Windows企業版功能沒有區別。

本測試僅對Win10企業版做了長時間的跟蹤抓包與分析,按照官方聲明,所受的服務越多,相應的用戶體驗更佳,收集的信息應該是會更多的,所以可以推測教育版與企業版收集的信息會更多。我們可以選擇諸如Win10中國定製版、企業長期服務支持版等相對比較純淨或精簡的版本。

Win10企業版64位2016長期服務版相對來說比之前的其他版本要純淨得多(如下麵開機界麵),沒有了Cortana(小娜語音助手)、微軟商城和各種Win10 metro應用,僅僅殘留有OneDrive,為此我們可以利用ShutUp10和DWS_lite關閉或屏蔽OneDrive功能以及自動更新,使用第三方軟件管理更新,上傳的數據量也大大減少,好幾天的抓包量是之前Win10企業版64位(10.0,版本15063)係統一天的抓包量,但仍然是會有不可免的信息上傳。相比較而言使用此版本是較為放心與安全的。

Win10收集用戶信息?抓包分析及應對策略來啦!(40)

注:Win10 LTSB(長期服務)版開機後界麵

總結

Win10係統與微軟的數據交互頻繁,本測試能捕捉的上傳證據涉及方位(國家城市,由天氣應用上傳可知)、用戶的賬戶信息、設備係統信息、音頻、安全證書授權相關信息、同步的用戶所有的信息、網頁瀏覽相關、用戶設置、應用商城相關信息等等,雖不能一一舉證,正如其官方模糊的隱私聲明:隻要涉及微軟產品的各項服務的提升,就會收集用戶“必要”信息。

在利用了ShutUp10和DWS_lite關閉或刪除部分功能後,仍然殘留有Cortana(小娜語音助手)、微軟商城、OneDrive等,但Win10上傳的動作顯然大大減少,能夠有效的阻止大部分Win10係統下微軟對我們的監測,特別是最後測試刪除了Win10 metro應用後效果最為明顯,刪除了metro應用就不能使用其相應的服務功能了(此步不可還原,根據需求操作),但是不影響我們正常的日常辦公、開發工作。

需要注意的是Windows更新關閉後,Windows 漏洞或服務更新需要我們用第三方軟件進行管理更新,此時也能得到及時全麵的維護。所以,想要減少數據被上傳就應減少Win10中不必要的應用與服務,可選擇類似ShutUp10及DWS_lite反監測工具進行減少Win10與微軟的數據交互,能大大減少數據的上傳,但還不是很徹底,如殘留的Cortana(小娜語音助手)、微軟商城、OneDrive等。

針對不同目的,我們可以選擇不同的版本,為減少監測可以選諸如Win10中國定製版、企業長期服務支持版等相對比較純淨或精簡的版本,也可利用ShutUp10和DWS_lite關閉或刪除部分功能以減少監測。

總之,對應的策略可最終歸納為以下兩點:

● 利用係統功能關閉工具反監測,例如:ShutUp10和DWS_lite

● 使用Windows 10 純淨或精簡版,如:Win10企業 LTSB(企業長期服務)版、Win10中國定製版。

我要分享:

最新熱門遊戲

版權信息

Copyright @ 2011 係統粉 版權聲明 最新發布內容 網站導航