← 返回信息流
AI 资讯Hacker News·3 小时前

微软确认Windows存在无法禁用的GDID设备标识符

原标题:Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled

速览

微软确认Windows系统中存在一个名为GDID的设备标识符,该标识符无法被用户禁用。GDID可能用于硬件识别或追踪,引发隐私担忧。目前用户无法通过常规设置关闭该功能。

AI 深度解读

背景

微软在一份由美国联邦检察官针对涉嫌 Scattered Spider 黑客组织成员提起的刑事起诉书中,首次公开承认了 Windows 全局设备标识符(Global Device Identifier, GDID)的存在。该起诉文件显示,GDID 是一个在 Windows 安装并关联 Microsoft Account 时生成的设备级永久 ID,会随 Windows 更新而持续存在,且无法在不影响 Windows 激活和 Microsoft Store 应用功能的前提下被禁用。此事经 Hacker News 报道后引发广泛关注,隐私研究人员指出该标识符缺乏用户知情同意和可见的控制选项,实际上构成一种隐性的设备追踪机制。

核心内容

GDID 的全称为 Global Device Identifier,是 Windows 在用户使用 Microsoft Account 进行初始设置时生成的一个持久性设备标识符。其生成过程依赖于一系列 Windows 服务:wlidsvc 服务向 login.live.com 请求一个 Device PUID,随后 Connected Devices Platform 将该 PUID 注册到微软的 Device Directory Service 中。当 PC 通过 Delivery Optimization(传递优化)共享或下载更新时,GDID 会被报告回微软服务器。该标识符存储在 Windows 注册表路径 HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 下,格式为小写字母 "g" 前缀后接十进制数字(例如 g:6755467234350028)。

GDID 在 Windows 更新后会保持持久性,但执行全新安装(clean reinstall)后则不会保留。微软承认,一个用户可以通过其账户、OneDrive 和激活历史关联多个 GDID。用户无法通过标准的 Windows 界面查看自己的 GDID,仅能通过注册表路径手动查找。

在 Scattered Spider 案件中,FBI 利用 GDID 成功追踪了疑似成员 Peter Stokes。起诉书显示,该 GDID 在通过 Tzulo VPN 代理创建攻击账户时,被记录到访问 ngrok 注册页面的同一时间点;三小时后,同一 GDID 通过相同代理访问了受害零售商的网站。FBI 将该设备与 Stokes 在 Snapchat、Facebook、Apple、Ubisoft 等平台账户关联的 IP 地址进行交叉比对,追踪范围涵盖爱沙尼亚、纽约、泰国等多个地点。Stokes 公开的 Snapchat 照片与 GDID 关联的酒店预订、位置和旅行时间线吻合。由于 GDID 在 VPN 会话期间持续存在,而 VPN IP 地址频繁变化,这一特性成为调查的关键资产。

针对用户隐私方面的担忧,多项事实已被指出:

  • 分配 GDID 时没有用户同意界面。苹果的广告标识符需要 App Tracking Transparency 提示并允许用户重置,Android 提供类似控制,而 GDID 两者皆无。
  • 激活依赖:驱动微软激活脚本的团队 Massgrave 指出,Windows 设置会将硬件信息发送给微软,并接收回后续用于商店访问和许可的标识符。阻止 GDID 分配会同时破坏激活和 UWP 应用功能。
  • 重新安装 Windows 会产生新的 GDID,但使用同一 Microsoft Account 登录后,微软可轻易将新标识符与先前活动关联。
  • 微软对该标识符的公开文档仅包含 Azure Monitor 参考表中面向企业 IT 管理员的一句简短说明。

安全研究员 Matthew Hickey 将此案中 Windows 的行为定性为“监控软件”。Costin Raiu 在 Three Buddy Problem 播客上质疑其他平台是否存在类似功能。

对于希望减少追踪的用户,可采取以下措施(但请注意无法完全禁用 GDID):

  • 尽可能使用本地账户而非 Microsoft Account 安装 Windows 11(较新版本已增加难度,但安装时仍可通过特定操作选择)。
  • 在“设置 > 隐私和安全性 > 诊断和反馈”中关闭可选诊断数据。
  • 在“隐私和安全性 > 建议和优惠”中禁用个性化广告和启动跟踪。
  • 在“隐私和安全性 > 搜索”中关闭云内容搜索,阻止本地搜索向 Bing 发送数据。
  • 检查并禁用“活动历史记录”及其他遥测选项。
  • 对于新闻工作者、活动家或家庭暴力等场景,建议使用 Linux 配合 Tor 路由,而非依赖商业 VPN 加 Windows PC。

用户如果重新安装 Windows 以获得新 GDID,需注意:使用同一 Microsoft Account 登录后,微软仍能将新标识符与先前的活动联系起来。

关键要点

  • GDID 是 Windows 中一种持久性设备标识符,生成于使用 Microsoft Account 安装 Windows 时,存储于注册表,格式为 g:数字,无法通过标准界面查看。
  • 该标识符无法在不妨碍 Windows 激活和 Microsoft Store 应用功能的前提下被禁用,用户缺乏任何同意界面或可见控制。
  • FBI 已成功利用 GDID 追踪 Scattered Spider 黑客组织成员,尽管目标使用了 VPN、代理服务器并跨越多国,GDID 的持久性使得跨 VPN 会话跟踪成为可能。
  • 微软对 GDID 的公开文档极不充分,仅在 Azure Monitor 文档中有一句内部使用说明,普通用户完全不知其存在。
  • 隐私研究人员的核心关注点:无用户同意、无可见重置选项、与账户绑定而非设备、重新安装后仍可通过账户关联。
  • 用户可采取的缓解措施有限,主要包括使用本地账户、关闭可选诊断和个性化广告、禁用云搜索,极端情况下可切换至 Linux 系统。
  • 约 16 亿 Windows 用户均受影响,GDID 在后台静默运行,微软未承诺提供面向普通用户的控制或文档。
  • 法律请求(如传票)可强制微软向执法部门共享 GDID 活动数据,Scattered Spider 案即为实例。

意义与影响

微软确认 GDID 的存在,标志着 Windows 生态系统中一项长期隐藏的设备追踪机制被公开。其影响体现在多个层面:

对个人用户而言,GDID 意味着即使使用 VPN 或代理,底层 Windows 安装仍持续向微软报告一个固定标识符,使得匿名性保护措施失效。用户无法通过常规设置关闭或重置该标识符,且微软账户的关联会跨越重新安装操作,进一步强化追踪链条。这对于需要高隐私保护的人群(如记者、活动家、家庭暴力受害者)构成实际威胁。

对法律与执法层面,GDID 为调查人员提供了一种绕开 IP 地址变化的新手段。Scattered Spider 案展示了即使目标使用 VPN 和代理,持久设备标识符仍能跨会话关联活动,结合其他数字痕迹可锁定嫌疑人。这预示着未来执法机构可能更频繁地依赖操作系统级标识符进行数字取证。

对行业竞争与监管,微软的做法与 Apple、Google 形成对比:Apple 为广告标识符(IDFA)提供了明确的透明度提示和重置选项,Android 的广告 ID 也可由用户重置。Windows 的 GDID 缺乏任何类似控制,且其存在未在隐私政策中充分披露。这可能引发监管机构的关注,尤其是在欧盟《数字市场法案》和全球隐私法规背景下,操作系统级别的默认追踪机制可能面临合规挑战。

对安全研究社区,此案例进一步加剧了关于 Windows 是否属于“监控软件”的争论。安全研究员 Matthew Hickey 的评论并非孤例,而 GDID 的隐藏性质表明,微软可能还有更多类似未公开的遥测机制。研究社区呼吁微软提供完整的标识符清单、用户控制选项以及清晰的隐私文档。

对微软自身,公开承认 GDID 可能迫使其在未来更新中增加用户可见性或提供禁用选项。但目前微软未做出任何承诺。若监管压力增大或用户抗议加剧,微软可能需要在保留激活/商店功能与满足隐私需求之间寻找平衡。此外,GDID 的广泛部署意味着几乎所有 Windows 用户都在无意中被追踪,这一事实可能影响用户对微软的信任度,并推动部分用户转向其他操作系统(如 Linux)。

查看原文 →ghacks.net