- A Microsoft confirmou publicamente a existência do Global Device Identifier (GDID), atribuído a cada instalação do Windows vinculada a uma conta, e promotores dos EUA registraram isso em uma denúncia federal usada para rastrear uma pessoa suspeita de integrar o grupo Scattered Spider
- A cadeia de serviços do Windows gera o GDID e o envia aos servidores da Microsoft, mantendo-o mesmo após atualizações. Bloquear sua atribuição pode afetar a ativação do Windows e apps da Microsoft Store
- O FBI vinculou, pelo mesmo GDID, as atividades de Peter Stokes ao longo de cerca de 8 meses, passando por VPNs e proxies em 4 países, e cruzou a criação de uma conta ngrok e registros de acesso a uma varejista vítima com redes sociais e informações de viagem
- O GDID não tem funções de consentimento, redefinição ou desativação, nem documentação para usuários comuns; mesmo que uma nova instalação do Windows altere o valor, ao fazer login na mesma conta Microsoft, ele pode ser associado novamente a atividades anteriores
- Contas locais e configurações de privacidade podem reduzir o rastreamento relacionado, mas o próprio GDID não pode ser desativado diretamente, e a Microsoft também não informou planos de oferecer controle ao usuário ou documentação adicional
Um ID persistente que identifica instalações do Windows
- O Global Device Identifier (GDID) é um identificador em nível de dispositivo atribuído a uma instalação do Windows quando ela é provisionada para uma conta Microsoft
- É um identificador persistente projetado para distinguir de forma única o sistema operacional Windows instalado em um dispositivo físico ou máquina virtual em alguns serviços e cenários de uso da Microsoft
- Ele permanece após atualizações do Windows, mas, se o disco for apagado e o Windows for reinstalado, o GDID anterior não é preservado
- Um usuário pode ter vários GDIDs, e a Microsoft pode vinculá-los entre si por meio de registros de conta, OneDrive e ativação
- Ele vem sendo aplicado em segundo plano a cerca de 1,6 bilhão de usuários do Windows, sem divulgação separada nem controle pelo usuário, e existe em todas as instalações do Windows vinculadas a uma conta Microsoft
Da geração ao reporte aos servidores da Microsoft
- Vários serviços do Windows operam em cadeia para gerar o GDID
- O serviço
wlidsvcsolicita um Device PUID alogin.live.com - A Connected Devices Platform registra esse valor no Microsoft Device Directory Service
- O Delivery Optimization reporta o GDID à Microsoft quando o PC baixa ou compartilha atualizações
- O serviço
- O identificador é armazenado na chave
LIDdo Registro emHKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties- Seu formato combina o prefixo
gminúsculo com números decimais - Nas interfaces comuns do Windows, o usuário não consegue verificar seu próprio GDID
- Seu formato combina o prefixo
- Bloquear a atribuição do GDID pode fazer com que a ativação do Windows e apps UWP não funcionem
- Segundo Massgrave, criador do Microsoft Activation Scripts, durante o processo de configuração do Windows, informações de hardware são enviadas à Microsoft, que devolve identificadores usados para acesso à Store e licenciamento
Como o FBI conectou sessões de VPN
- O FBI usou o GDID para rastrear Peter Stokes, suspeito de integrar o grupo Scattered Spider, além de conexões VPN e servidores proxy
- O rastreamento durou cerca de 8 meses, com atividades em 4 países
- Segundo a denúncia,
g:6755467234350028acessou a página de cadastro do ngrok no momento em que uma conta usada no ataque foi criada por meio de um proxy VPN da Tzulo- Três horas depois, o mesmo GDID acessou o site de uma varejista vítima por meio do mesmo proxy
- As autoridades cruzaram aquele dispositivo com endereços IP vinculados às contas de Stokes no Snapchat, Facebook, Apple e Ubisoft
- Os locais de acesso relacionados incluíam Estônia, Nova York e Tailândia
- Fotos publicadas por Stokes no Snapchat coincidiram com reservas de hotel, localização e itinerários de viagem vinculados ao GDID
- Embora os endereços IP da VPN mudassem com frequência, a instalação do Windows continuava reportando o mesmo identificador, tornando-se uma pista de rastreamento entre sessões de VPN
Identificador invisível e limites do controle pelo usuário
- Quando o GDID é atribuído, nenhuma tela de consentimento aparece, e também não há função para o usuário redefini-lo ou desativá-lo
- O identificador de publicidade da Apple oferece o aviso de App Tracking Transparency e uma função de redefinição
- O Android também oferece controles semelhantes
- Reinstalar o Windows cria um novo GDID, mas, ao fazer login na mesma conta Microsoft, a Microsoft pode vincular o novo identificador a atividades anteriores
- A documentação pública da Microsoft se limita a uma frase em uma tabela de referência do Azure Monitor para administradores de TI corporativa, descrevendo o GDID como um “identificador usado internamente pela Microsoft”
- O pesquisador de segurança Matthew Hickey avaliou o Windows, neste caso, como “software de vigilância (surveillance software)”
- Costin Raiu, no podcast Three Buddy Problem, questionou até que ponto funções semelhantes existem em outras plataformas
- Os principais sistemas operacionais mantêm meios persistentes de identificação de dispositivos para licenciamento e verificações de segurança, mas, ao contrário das plataformas da Apple e do Google, o Windows não oferece controles visíveis ao usuário
Configurações para reduzir o rastreamento relacionado
- Como o GDID não pode ser desativado diretamente sem prejudicar recursos essenciais do Windows, as configurações abaixo são medidas para reduzir o rastreamento relacionado
- Quando possível, usar uma conta local em vez de uma conta Microsoft
- Versões recentes do Windows 11 tornaram a configuração de contas locais mais difícil, mas usuários que conhecem o caminho ainda conseguem escolhê-la durante a instalação
- Em
Configurações → Privacidade e segurança → Diagnóstico e comentários, desativar dados de diagnóstico opcionais - Em
Privacidade e segurança → Recomendações e ofertas, desativar anúncios personalizados e rastreamento de inicialização de apps - Em
Privacidade e segurança → Pesquisa, desativar a Cloud Content Search para impedir que pesquisas locais sejam enviadas ao Bing - Revisar e desativar o Activity History e outras opções de telemetria
- Quando possível, usar uma conta local em vez de uma conta Microsoft
- Em situações nas quais a persistência de identificadores possa representar ameaça, como jornalismo, ativismo social ou violência doméstica, recomenda-se usar Linux via Tor em vez de depender de um PC Windows e VPNs comerciais
- Mesmo que o Windows seja reinstalado para obter um novo GDID, fazer login na mesma conta Microsoft fornece à Microsoft dados para vinculá-lo a atividades anteriores
Escopo limitado de divulgação e estado futuro
- Solicitações legais, como intimações, podem obrigar a Microsoft a fornecer dados de atividade do GDID a órgãos de investigação, e o caso Scattered Spider tornou-se um exemplo real
- A Microsoft não declarou que mudará a forma como o GDID é gerado, armazenado ou reportado, nem prometeu controles ou documentação para usuários comuns
- Além da denúncia federal, o único material público é uma breve entrada na documentação do Azure Monitor, e a parte da denúncia atual relacionada à telemetria da Microsoft é atualmente o material público que mostra com mais detalhes como o GDID funciona
- O caso Scattered Spider está em tramitação na Justiça Federal dos EUA, e os usuários podem acompanhar futuras atualizações da Microsoft relacionadas à privacidade
1 comentários
Comentários no Lobste.rs
O que não entendo é como o GDID do Windows é associado à atividade em serviços externos à Microsoft. O dispositivo envia o GDID para esses serviços, ou a Microsoft armazena toda a atividade de navegação de todos os usuários? Se for o segundo caso, fica a dúvida se isso é coletado apenas no Edge ou se usam outros meios também.
.168, e que por volta do mesmo horário foi criada, a partir do mesmo IP de VPN, a conta do ngrok usada no ataque.Naquele momento, várias pessoas poderiam estar usando o mesmo IP de VPN, então é difícil considerar isso uma prova conclusiva. É parecido com o fato de alguém estar nas proximidades na hora de um assassinato: isso não faz da pessoa a assassina, mas pode torná-la suspeita. As circunstâncias de ostentar riqueza de origem pouco clara e falar sobre hackers condenados provavelmente aumentaram as suspeitas, mas o fato de dados vazados terem sido encontrados na busca e apreensão é muito mais convincente.
Não parece que o GDID tenha exercido alguma função especial aqui. Ele só está relacionado porque a Microsoft usou o GDID em sua própria análise ao repassar informações ao FBI; qualquer outra empresa que colete logs de IP vinculados a informações de conta poderia ter feito uma denúncia semelhante.
O pedido judicial relacionado está aqui: https://www.justice.gov/usao-ndil/media/1450651/dl?inline
A confirmação da Microsoft não é importante; a existência desse recurso já havia sido comprovada mesmo sem essa declaração.
Dizem que o pesquisador de segurança Matthew Hickey definiu o Windows como “software de vigilância” por causa deste caso, mas isso é piada. A avaliação de que o Windows é spyware existe pelo menos desde o lançamento do Windows 10.