← 返回信息流
AI 资讯Hacker News·2 小时前

微软通过Windows设备ID追踪用户

原标题:Microsoft Can Track Users via a Windows Device ID

速览

微软通过Windows设备ID追踪用户,该ID与硬件绑定,可用于跨应用和服务的用户识别。此举引发隐私争议,用户难以完全关闭此追踪功能。该机制可能影响用户数据安全与广告定位。

AI 深度解读

背景

一名19岁黑客被捕事件,意外揭露了微软通过一个名为“Global Device ID”(GDID)的持久性设备标识符追踪Windows PC及其在线活动的能力。该标识符似乎没有简单的退出机制,引发了对潜在监控的担忧。上周,美国宣布从欧洲引渡19岁的Peter Stokes,指控其涉嫌参与臭名昭著的黑客组织Scattered Spider。根据一份解封的刑事起诉书,微软在将Stokes与黑客犯罪行为关联起来的过程中发挥了关键作用。

核心内容

Stokes被指控于2025年5月,在使用VPN的情况下,入侵了一家未具名的奢侈珠宝零售商。这份39页的刑事起诉书显示,FBI利用微软的记录发现,他的IP地址与一个名为Global Device ID(GDID)的微软设备标识符相关联。

起诉书解释称:“根据微软代表的说法,Windows生态系统中的全局设备标识符是一个持久的设备级标识符,旨在唯一标识设备上(物理设备如手机或笔记本电脑,或虚拟机)的Windows操作系统安装,用于某些微软服务和场景。”

GDID的存在本身并不令人意外,因为给每个账户或设备分配唯一标识符是科技公司的标准做法,以便识别和区分它们。但起诉书揭示,微软可以将GDID与第三方服务以及访问时间关联起来,从而使微软理论上能够追踪用户的在线活动。换句话说,微软或许无需第三方浏览器cookie,就能追踪你Windows PC的在线活动。

Stokes被发现的作案手法是利用一个名为ngrok的Web开发工具,绕过该珠宝零售商的网络防御。起诉书称,微软的记录显示,在2025年5月12日19:21 UTC,与Stokes电脑关联的GDID“访问了包括‘https://dashboard[.]ngrok.com/signup’在内的ngrok页面,该页面用于设置ngrok账户”。此外,微软记录还显示该GDID从Web托管提供商Tzulo的服务器访问了“多个网站”,以协助实施黑客攻击。

因此,联邦调查人员利用微软标识符抓获一名涉嫌黑客的事实,引发了人们对该标识符可能被滥用于其他监控目的的担忧。网络安全专家Matthew Hickey在推文中声称:“微软Windows就是监控软件。”

该设备标识符在一个支持页面上被简要提及,但微软并未公开评论。根据刑事起诉书,Windows用户可以自行重置GDID,但操作并不简单。“GDID在设备上的Windows操作系统更新中保持一致,但在同一设备或不同设备上重新安装Windows后,将关联一个新的唯一GDID。”起诉书在脚注中补充道:“因此,一个微软用户可能拥有多个GDID。”

不过,我们怀疑微软将新设置的GDID与旧GDID关联起来并不困难,因为该公司可以查看其他标识符(如微软账户登录或IP地址)并进行匹配。针对这种监控可能性,一些用户已经开始探索控制和清除GDID标识符的方法。

与此同时,网络安全研究员Costin Raiu质疑其他科技公司是否也具备同样的监控能力,因为唯一标识符是普遍使用的。“我也想问问:苹果设备上这种情况有多严重?规模是否相同?是否在更高层级发生——他们是否将其与硬件绑定,这样即使你重新安装系统也无所谓,因为它是基于硬件的?”他在Three Buddy Problem播客中说道,“很可能这不是微软独有的。而且,如果你想要完全匿名,你最终可能不得不在开发环境中使用Linux、FreeBSD之类的东西,并通过代理、Tor、VPN等方式隧道所有流量。”

关键要点

  • 微软的Global Device ID(GDID)是一个持久性的设备级标识符,唯一标识Windows操作系统安装,在系统更新后保持不变,但重新安装Windows会生成新的GDID。
  • 联邦调查局在逮捕涉嫌黑客Peter Stokes的案件中,利用GDID将其计算机活动与ngrok登录和Web托管服务器访问记录关联起来,成功定位并指控嫌疑人。
  • GDID不仅可以关联微软自身服务,还能关联第三方服务(如ngrok)及访问时间,使微软理论上能追踪用户的大规模在线活动,无需依赖第三方浏览器cookie。
  • 用户虽然可以手动重置GDID,但过程复杂,且微软仍可能通过其他标识符(如微软账户登录或IP地址)将新GDID与旧GDID关联,削弱了重置的有效性。
  • 网络安全专业人士认为Windows本身具有监控性质,并警示其他科技公司(如苹果)可能也存在类似级别的设备追踪机制,甚至可能与硬件绑定,更难规避。
  • 若希望实现完全匿名,开发者可能需要转向Linux或FreeBSD等系统,并全程使用代理、Tor、VPN等工具。

意义与影响

此次事件揭示了科技巨头在操作系统层面嵌入的持久性标识符可能被执法机构甚至企业自身用于追踪用户,而用户几乎无法轻易退出。尽管GDID的本意是为服务提供设备识别,但其与第三方服务活动记录的结合,使监控范围远超预期。这引发了关于隐私保护与监控权限的广泛讨论。

从技术层面看,GDID的存在意味着Windows用户难以实现完全匿名,即便使用VPN或重置标识符,微软仍可能通过其他手段重建关联。而对于其他操作系统(如macOS、iOS),类似硬件绑定的标识符可能使重新安装也无法逃脱追踪。这使得用户不得不考虑使用完全开源的系统(如Linux)并组合多种匿名化工具。

从法律与政策层面看,此案为执法部门利用操作系统内置标识符进行网络犯罪调查提供了先例,但同时也为政府滥用此类能力打开了大门。网络安全专家和公民自由倡导者很可能呼吁微软提供更明确的退出机制,或要求立法限制此类持久标识符的使用范围。对于普通用户而言,理解并主动管理设备上的隐私设置,将成为自我保护的关键一步。

查看原文 →pcmag.com