MS Edge 브라우저 텔레메트리, 개인정보 침해 가능성

Research Finds Microsoft Edge Has Privacy-Invading Telemetry

텔레메트리는 마이크로소프트(MS)가 사용자들에게 수집하는 윈도 시스템 이력 정보입니다.

Douglas J Leith 교수는 Microsoft Edge、Google Chrome、Brave、Yandex、Firefox 및 Apple Safari브라우저들이 공유하는 데이터를 연구하였습니다. 

그 결과, MS Edge 브라우저가 개인정보보호 테스트에서 좋지 않은 결과를 받았습니다. 

MS Edge가 수집하는 너무 많은 텔레메트리 데이터

Edge Browser를 테스트 할 때 Leith는 Edge에 입력 된 모든 URL이 Microsoft 사이트로 다시 전송되는 것을 확인했습니다.

예를 들어 주소 표시 줄에 입력 한 모든 URL은 Bing 및 SmartScreen과 같은 다른 Microsoft 서비스와 공유됩니다. 연구원은 Fiddler를 사용하여 JSON 데이터가 Microsoft로 전송되는 것을 확인하였습니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/microsoft/research-finds-microsoft-edge-has-privacy-invading-telemetry/>

알려진 악성 사이트 목록을 다운로드하여 로컬에 저장하는 Google의 세이프 브라우징 구현과 유사한 기술을 사용하여이 문제를 해결할 수 있습니다. 이 목록은 브라우저에서 확인하며 Google 서버로 데이터를 보내야하는 경우 탐색 동작을 추적하는 데 사용할 수있는 해시 부분 URL fingerprint만 보냅니다.

브라우저는 또한 고유 한 하드웨어 식별자를 Microsoft에 전송하는데, 이는 쉽게 변경하거나 삭제할 수없는 "강하고 지속적인 식별자"입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/microsoft/research-finds-microsoft-edge-has-privacy-invading-telemetry/>

러시아어 웹 브라우저 Yandex도 비슷한 개인 정보 보호 활동에 참여하고 있습니다.

개인 정보 보호 측면에서 Microsoft Edge 및 Yandex는 다른 브라우저들과는 다릅니다. 둘 다 요청 (및 관련 IP 주소 / 위치)을 백엔드 서버에 연결하는 데 사용할 수있는 영구 식별자를 보냅니다. Edge는 또한 장치의 하드웨어 UUID를 Microsoft로 보내고 Yandex는 마찬가지로 해시 된 하드웨어 식별자를 백엔드 서버로 전송합니다. 하지만 이런 기능들은 사용자가 비활성화 할 수 없습니다. 방문한 웹 페이지의 세부 정보를 공유하는 검색 자동 완성 기능 외에도 검색 자동 완성과 관련이없는 서버로 웹 페이지 정보를 전송합니다.

이 밖에도, Enterprise 용 Microsoft Edge는 관리자에게 배포에서 모든 트래커를 비활성화 할 수있는 많은 제어 기능을 제공하지만 트래커는 모든 Edge 설치에서 기본적으로 활성화되어 있습니다.

 

Microsoft Edge는 테스트에서 좋지 않은 결과가 나왔지만, 연구원은 Chrome 및 기타 브라우저의 동작에도 역시 의문을 제기했습니다.

사용자는 이전에 Chrome에서 전체 컴퓨터를 검사하고 실행 프로그램의 해시를 Google에 다시보고하여 Chrome의 세이프 브라우징 플랫폼을 구축했음을 알았습니다.

Chrome, Firefox 및 Safari는 방문한 모든 웹 페이지의 세부 정보를 서비스와 공유합니다. 이러한 모든 브라우저는 자동 완성 기능을 사용하여 웹 주소를 서비스에 실시간으로 보냅니다.

기본적으로 자동 활성화되는 Firefox의 원격 측정 전송은 시간이 지남에 따라 이들을 연결하는 데 사용될 수 있습니다. 파이어 폭스에는 푸시 알림을 위한 공개 웹 소켓 (WebSocket)이 있으며, 연구원에 따르면 추적에 사용될 수있는 고유 식별자에 링크되어 있습니다. 

출처:

https://www.bleepingcomputer.com/news/microsoft/research-finds-microsoft-edge-has-privacy-invading-telemetry/