SmartScreen w Windows 8 — śledzi czy nie?
Windows SmartScreen to domyślnie włączony komponent systemu Windows 8, który ma powiadomić użytkownika czy pobrana aplikacja jest bezpieczna i czy może ją spokojnie zainstalować na swoim urządzeniu. SmartScreen zbiera informacje o instalatorze, wysyła je do Microsoftu i czeka na decydującą odpowiedź. Nadim Kobeissi, niezależny ekspert w dziedzinie bezpieczeństwa komputerów i aktywny działacz przeciwko cenzurze w Internecie twierdzi, że w ten sposób firma zbiera informacje o wszystkich instalowanych przez użytkowników aplikacjach. Microsoft oczywiście zaprzecza.
Zdaniem Nadima problemem jest to, że SmartScreen jest skonfigurowany do wysyłania Microsoftowi natychmiast informacji, że użytkownik instaluje właśnie aplikację i jaką. Stwarza to ryzyko gromadzenia danych o tym, jakie aplikacje zostały zainstalowane na komputerze (komputerach) łączących się z danego adresu IP, po czym z kolei można już mniej-więcej dotrzeć do konkretnych osób. Co więcej, Nadim odkrył, że dane przechowywane były na słabo zabezpieczonych serwerach. W momencie badania transmisji serwery Microsoftu (IIS 7.5) obsługiwały połączenia SSLv2, co narażało je na włamanie, gdyż znane są metody na złamanie protokołu. To ryzyko zostało już usunięte. Sam SmartScreen da się wyłączyć, ale nieaktywny będzie o sobie przypominał, zaś użytkownik podczas instalacji nie jest informowany o tym, że Microsoft będzie zbierał dane o aplikacjach.
Microsoft postanowił uspokoić wszystkich i zapewnia, że nie zamierza zbudować bazy z historią wszystkich zainstalowanych kiedykolwiek aplikacji na każdym urządzeniu z nowym Windowsem. Adresy IP, z których pochodzą zgłoszenia, są niezbędne do wysłania komunikatu zwrotnego, ale okresowo zapisy są kasowane. Według rzecznika firmy z Redmond dane nie są wykorzystywane do identyfikacji osób, do kontaktów z klientami czy do wysyłania spersonalizowanych reklam ani nie są udostępniane podmiotom trzecim.
Mimo najlepszych chęci ze strony Microsoftu niemal pewnym jest, że ten mechanizm zostanie głębiej zbadany przez analityków. Prawdopodobnie będzie musiał zostać zmodyfikowany. Niektórzy proponują, aby baza potencjalnie szkodliwych programów była przechowywana lokalnie i raz na jakiś czas aktualizowana.