- Microsoft ได้ยืนยันต่อสาธารณะถึงการมีอยู่ของ Global Device Identifier(GDID) ที่ถูกกำหนดให้กับการติดตั้ง Windows แต่ละครั้งที่เชื่อมกับบัญชี และอัยการสหรัฐฯ ได้บันทึกเรื่องนี้ไว้ในคำร้องทุกข์ของรัฐบาลกลางที่ใช้ติดตามบุคคลซึ่งคาดว่าเป็นสมาชิกกลุ่ม Scattered Spider
- ห่วงโซ่บริการของ Windows สร้าง GDID และส่งไปยังเซิร์ฟเวอร์ของ Microsoft โดยยังคงอยู่แม้หลังการอัปเดต หากป้องกันการกำหนดค่านี้ การเปิดใช้งาน Windows และแอป Microsoft Store อาจได้รับผลกระทบ
- FBI เชื่อมโยงกิจกรรมของ Peter Stokes ที่ใช้ VPN และพร็อกซีเดินทางข้าม 4 ประเทศเป็นเวลาประมาณ 8 เดือนเข้าด้วยกันด้วย GDID เดียวกัน และตรวจสอบไขว้การสร้างบัญชี ngrok กับประวัติการเข้าถึงร้านค้าปลีกที่ตกเป็นเหยื่อกับข้อมูลโซเชียลมีเดียและการเดินทาง
- GDID ไม่มี ฟังก์ชันขอความยินยอม รีเซ็ต หรือปิดใช้งาน และไม่มีเอกสารสำหรับผู้ใช้ทั่วไป แม้ติดตั้ง Windows ใหม่จนค่าเปลี่ยนไป แต่หากล็อกอินด้วยบัญชี Microsoft เดิม ก็อาจถูกเชื่อมโยงกลับไปยังกิจกรรมก่อนหน้าได้
- บัญชีภายในเครื่องและการตั้งค่าความเป็นส่วนตัวอาจลดการติดตามที่เกี่ยวข้องได้ แต่ไม่สามารถปิด GDID เองได้โดยตรง และ Microsoft ก็ไม่ได้ระบุแผนที่จะให้ การควบคุมแก่ผู้ใช้หรือเอกสารเพิ่มเติม
ID ถาวรที่ระบุการติดตั้ง Windows
- Global Device Identifier(GDID) คือตัวระบุระดับอุปกรณ์ที่ถูกกำหนดให้กับการติดตั้ง Windows เมื่อ Windows ถูก provision สำหรับบัญชี Microsoft
- เป็น ตัวระบุถาวร ที่ออกแบบมาเพื่อแยกระบบปฏิบัติการ Windows ที่ติดตั้งบนอุปกรณ์จริงหรือเครื่องเสมือนให้มีเอกลักษณ์ในบริการและสถานการณ์การใช้งานบางอย่างของ Microsoft
- ยังคงอยู่หลังการอัปเดต Windows แต่หากลบดิสก์และติดตั้ง Windows ใหม่ GDID เดิมจะไม่ถูกเก็บไว้
- ผู้ใช้หนึ่งคนอาจมี GDID ได้หลายค่า และ Microsoft สามารถเชื่อมโยงค่าเหล่านี้เข้าด้วยกันผ่านบัญชี OneDrive และประวัติการเปิดใช้งาน
- ถูกใช้เบื้องหลังกับ ผู้ใช้ Windows ประมาณ 1.6 พันล้านคน โดยไม่มีการเปิดเผยแยกต่างหากหรือการควบคุมจากผู้ใช้ และมีอยู่ในการติดตั้ง Windows ทุกชุดที่เชื่อมกับบัญชี Microsoft
ตั้งแต่การสร้างจนถึงการรายงานไปยังเซิร์ฟเวอร์ Microsoft
- บริการ Windows หลายตัวทำงานต่อเนื่องกันเพื่อสร้าง GDID
- บริการ
wlidsvcขอ Device PUID จากlogin.live.com - Connected Devices Platform ลงทะเบียนค่านี้กับ Microsoft Device Directory Service
- Delivery Optimization รายงาน GDID ไปยัง Microsoft เมื่อพีซีดาวน์โหลดหรือแชร์อัปเดต
- บริการ
- ตัวระบุถูกเก็บไว้ในคีย์
LIDของรีจิสทรีHKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties- มีรูปแบบเป็นคำนำหน้า
gตัวพิมพ์เล็กผสมกับตัวเลขฐานสิบ - ผู้ใช้ไม่สามารถดู GDID ของตนเองได้ในอินเทอร์เฟซ Windows ทั่วไป
- มีรูปแบบเป็นคำนำหน้า
- หากบล็อกการกำหนด GDID การเปิดใช้งาน Windows และแอป UWP อาจไม่ทำงาน
- ตามข้อมูลจาก Massgrave ผู้สร้าง Microsoft Activation Scripts ในกระบวนการตั้งค่า Windows ข้อมูลฮาร์ดแวร์จะถูกส่งไปยัง Microsoft และจะได้รับตัวระบุกลับมาซึ่งใช้กับการเข้าถึง Store และไลเซนส์
วิธีที่ FBI เชื่อมโยงเซสชัน VPN
- FBI ใช้ GDID เพื่อติดตาม Peter Stokes ซึ่งคาดว่าเป็นสมาชิกกลุ่ม Scattered Spider ผ่านการเชื่อมต่อ VPN และเซิร์ฟเวอร์พร็อกซี
- การติดตามดำเนินไปราว 8 เดือน และพื้นที่กิจกรรมครอบคลุม 4 ประเทศ
- ตามคำร้องทุกข์
g:6755467234350028เข้าถึงหน้าสมัครสมาชิก ngrok ในช่วงเวลาที่บัญชีที่ใช้โจมตีถูกสร้างขึ้นผ่านพร็อกซี Tzulo VPN- 3 ชั่วโมงต่อมา GDID เดียวกันเข้าถึงเว็บไซต์ร้านค้าปลีกที่ตกเป็นเหยื่อผ่านพร็อกซีเดียวกัน
- เจ้าหน้าที่สืบสวนตรวจสอบอุปกรณ์ดังกล่าวไขว้กับที่อยู่ IP ที่เชื่อมกับบัญชี Snapchat, Facebook, Apple และ Ubisoft ของ Stokes
- ตำแหน่งการเข้าถึงที่เกี่ยวข้องรวมถึงเอสโตเนีย นิวยอร์ก และไทย
- ภาพถ่ายที่ Stokes เผยแพร่บน Snapchat ตรงกับการจองโรงแรม ตำแหน่งที่ตั้ง และกำหนดการเดินทางที่เชื่อมกับ GDID
- แม้ที่อยู่ IP ของ VPN จะเปลี่ยนบ่อย แต่การติดตั้ง Windows ยังคงรายงานตัวระบุเดิมอย่างต่อเนื่อง จึงกลายเป็น เบาะแสการติดตามข้ามเซสชัน VPN
ตัวระบุที่มองไม่เห็นและข้อจำกัดของการควบคุมโดยผู้ใช้
- เมื่อมีการกำหนด GDID ไม่มีหน้าจอขอความยินยอมปรากฏขึ้น และไม่มีฟังก์ชันให้ผู้ใช้รีเซ็ตหรือปิดใช้งาน
- ตัวระบุโฆษณาของ Apple มีการแจ้งเตือน App Tracking Transparency และฟังก์ชันรีเซ็ต
- Android ก็มีฟังก์ชันควบคุมคล้ายกัน
- เมื่อติดตั้ง Windows ใหม่จะมีการสร้าง GDID ใหม่ แต่หากล็อกอินด้วยบัญชี Microsoft เดิม Microsoft สามารถเชื่อมโยงตัวระบุใหม่กับกิจกรรมก่อนหน้าได้
- เอกสารสาธารณะของ Microsoft มีเพียง หนึ่งประโยค ในตารางอ้างอิง Azure Monitor สำหรับผู้ดูแล IT องค์กร ที่ระบุว่า GDID เป็น “ตัวระบุที่ Microsoft ใช้ภายใน”
- นักวิจัยความปลอดภัย Matthew Hickey ประเมินกรณีนี้ว่า Windows เป็น “ซอฟต์แวร์สอดส่อง(surveillance software)”
- Costin Raiu ตั้งคำถามในพอดแคสต์ Three Buddy Problem ว่าแพลตฟอร์มอื่น ๆ มีฟังก์ชันคล้ายกันอยู่มากเพียงใด
- ระบบปฏิบัติการหลัก ๆ รักษาวิธีระบุอุปกรณ์แบบถาวรไว้เพื่อการตรวจสอบไลเซนส์และความปลอดภัย แต่ Windows ต่างจากแพลตฟอร์มของ Apple และ Google ตรงที่ไม่มีฟังก์ชันควบคุมที่ผู้ใช้มองเห็นได้
การตั้งค่าเพื่อลดการติดตามที่เกี่ยวข้อง
- เนื่องจากไม่สามารถปิด GDID ได้โดยตรงโดยไม่ทำให้ฟังก์ชันหลักของ Windows เสียหาย การตั้งค่าต่อไปนี้จึงเป็น มาตรการลดการติดตามที่เกี่ยวข้อง
- หากเป็นไปได้ ให้ใช้บัญชีภายในเครื่องแทนบัญชี Microsoft
- Windows 11 รุ่นล่าสุดทำให้การตั้งค่าบัญชีภายในเครื่องยากขึ้น แต่ผู้ใช้ที่รู้วิธีเข้าถึงยังสามารถเลือกได้ในขั้นตอนติดตั้ง
- ปิดข้อมูลวินิจฉัยเสริมที่
การตั้งค่า → ความเป็นส่วนตัวและความปลอดภัย → การวินิจฉัยและคำติชม - ปิดโฆษณาแบบปรับให้เหมาะกับบุคคลและการติดตามการเรียกใช้แอปที่
ความเป็นส่วนตัวและความปลอดภัย → คำแนะนำและข้อเสนอแนะ - ปิด Cloud Content Search ที่
ความเป็นส่วนตัวและความปลอดภัย → การค้นหาเพื่อไม่ให้การค้นหาในเครื่องถูกส่งไปยัง Bing - ตรวจสอบและปิด Activity History และตัวเลือก telemetry อื่น ๆ
- หากเป็นไปได้ ให้ใช้บัญชีภายในเครื่องแทนบัญชี Microsoft
- ในสถานการณ์ที่ความต่อเนื่องของตัวระบุอาจเป็นภัยคุกคาม เช่น งานสื่อสารมวลชน การเคลื่อนไหวทางสังคม หรือความรุนแรงในครอบครัว แนะนำให้ ใช้ Linux ผ่าน Tor แทนการพึ่งพา Windows PC และ VPN เชิงพาณิชย์
- แม้จะติดตั้ง Windows ใหม่เพื่อรับ GDID ใหม่ แต่หากล็อกอินด้วยบัญชี Microsoft เดิม ก็จะให้ข้อมูลแก่ Microsoft สำหรับเชื่อมโยงกับกิจกรรมก่อนหน้า
ขอบเขตการเปิดเผยที่จำกัดและสถานะในอนาคต
- คำขอทางกฎหมาย เช่น หมายเรียก อาจบังคับให้ Microsoft ส่งข้อมูลกิจกรรม GDID ให้หน่วยงานสืบสวนได้ และคดี Scattered Spider กลายเป็นตัวอย่างจริง
- Microsoft ไม่ได้ระบุจุดยืนว่าจะเปลี่ยนวิธีสร้าง จัดเก็บ หรือรายงาน GDID และไม่ได้ให้คำมั่นว่าจะมีการควบคุมหรือเอกสารสำหรับผู้ใช้ทั่วไป
- นอกจากคำร้องทุกข์ของรัฐบาลกลางแล้ว เอกสารที่เผยแพร่มีเพียงรายการสั้น ๆ ในเอกสาร Azure Monitor และปัจจุบัน ส่วนที่เกี่ยวกับ telemetry ของ Microsoft ในคำร้องทุกข์เป็น ข้อมูลสาธารณะที่แสดงรายละเอียดวิธีทำงานของ GDID มากที่สุด
- คดี Scattered Spider อยู่ระหว่างกระบวนการในศาลรัฐบาลกลางสหรัฐฯ และผู้ใช้สามารถติดตามอัปเดตด้านความเป็นส่วนตัวจาก Microsoft ต่อไปได้
1 ความคิดเห็น
ความคิดเห็นจาก Lobste.rs
สิ่งที่ไม่เข้าใจคือ Windows GDID เชื่อมโยงกับกิจกรรมของบริการภายนอก Microsoft ได้อย่างไร สงสัยว่าอุปกรณ์ส่ง GDID ไปยังบริการเหล่านั้นเอง หรือว่า Microsoft เก็บกิจกรรมเบราว์เซอร์ของผู้ใช้ทุกคนไว้ทั้งหมด ถ้าเป็นอย่างหลัง ก็ยังสงสัยว่าเก็บเฉพาะจาก Edge หรือใช้วิธีอื่นด้วย
.168และในช่วงเวลาใกล้กันก็มีการสร้างบัญชี ngrok ที่ใช้แฮ็กผ่าน VPN IP เดียวกันตอนนั้นอาจมีหลายคนใช้ VPN IP เดียวกันร่วมกันอยู่ด้วย จึงยากจะมองว่าเป็นหลักฐานชี้ขาด เปรียบได้กับการอยู่ใกล้ที่เกิดเหตุฆาตกรรมในเวลานั้น ไม่ได้แปลว่าเป็นฆาตกร แต่ก็อาจเป็นผู้ต้องสงสัยได้ บริบทที่พูดถึงแฮ็กเกอร์ซึ่งอวดความร่ำรวยที่มาไม่ชัดเจนและถูกตัดสินว่ามีความผิดก็คงทำให้ความสงสัยเพิ่มขึ้น แต่ข้อเท็จจริงที่พบข้อมูลรั่วไหลระหว่างการตรวจค้นยึดนั้นน่าเชื่อถือกว่ามาก
ตรงนี้ดูเหมือน GDID จะไม่ได้มีบทบาทพิเศษอะไร แค่ Microsoft ส่งข้อมูลให้ FBI และใช้ GDID ในการวิเคราะห์ภายในของตัวเองจึงถูกกล่าวถึง และบริษัทอื่นที่เก็บล็อก IP ซึ่งเชื่อมกับข้อมูลบัญชีได้ก็คงแจ้งเรื่องแบบเดียวกันได้เหมือนกัน
คำร้องต่อศาล ที่เกี่ยวข้องอยู่ที่นี่: https://www.justice.gov/usao-ndil/media/1450651/dl?inline
การยืนยันของ Microsoft ไม่ได้สำคัญ และถึงไม่มีคำกล่าวเช่นนั้น การมีอยู่ของฟีเจอร์นี้ ก็ได้รับการพิสูจน์ไปแล้ว
ว่ากันว่า Matthew Hickey นักวิจัยด้านความปลอดภัยเรียก Windows ในกรณีนี้ว่าเป็น “ซอฟต์แวร์สอดแนม” ซึ่งก็น่าขำ เพราะการมองว่า Windows เป็นสปายแวร์ มีมาตั้งแต่อย่างช้าในช่วงเปิดตัว Windows 10 แล้ว