1 पॉइंट द्वारा GN⁺ 4 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Microsoft ने सार्वजनिक रूप से Global Device Identifier(GDID) के अस्तित्व की पुष्टि की है, जो किसी अकाउंट से जुड़े हर Windows इंस्टॉलेशन को दिया जाता है, और अमेरिकी अभियोजकों ने Scattered Spider संगठन के कथित सदस्य को ट्रैक करने वाली संघीय शिकायत में इसे दर्ज किया
  • Windows सर्विस चेन GDID बनाकर Microsoft सर्वर को भेजती है और यह अपडेट के बाद भी बना रहता है। इसके असाइनमेंट को रोकने पर Windows activation और Microsoft Store apps प्रभावित हो सकते हैं
  • FBI ने लगभग 8 महीनों तक VPN और proxy का उपयोग करते हुए 4 देशों में फैली Peter Stokes की गतिविधियों को उसी GDID से जोड़ा, और ngrok अकाउंट बनाने तथा पीड़ित retail company तक पहुंच के रिकॉर्ड को social media और travel जानकारी से cross-verify किया
  • GDID में consent, reset, disable function या आम users के लिए documentation नहीं है, और Windows को नया install करने से value बदल भी जाए, तो उसी Microsoft account में login करने पर इसे पिछली गतिविधियों से फिर जोड़ा जा सकता है
  • Local account और privacy settings से संबंधित tracking घटाई जा सकती है, लेकिन GDID को सीधे बंद नहीं किया जा सकता, और Microsoft ने भी user control या अतिरिक्त documentation देने की कोई योजना नहीं बताई

Windows इंस्टॉलेशन की पहचान करने वाला persistent ID

  • Global Device Identifier(GDID) एक device-level identifier है, जो Windows को Microsoft account के लिए provision किए जाने पर उस Windows इंस्टॉलेशन को दिया जाता है
  • यह एक persistent identifier है, जिसे physical device या virtual machine पर install Windows operating system को कुछ Microsoft services और usage scenarios में uniquely अलग पहचान देने के लिए design किया गया है
  • Windows update के बाद भी यह बना रहता है, लेकिन disk को मिटाकर Windows को नए सिरे से install करने पर पुराना GDID संरक्षित नहीं रहता
  • एक user के पास कई GDID हो सकते हैं, और Microsoft account, OneDrive और activation records के जरिए इन्हें आपस में जोड़ सकता है
  • यह लगभग 1.6 अरब Windows users पर अलग disclosure या user control के बिना background में लागू होता आया है, और Microsoft account से जुड़े हर Windows इंस्टॉलेशन में मौजूद है

बनने से लेकर Microsoft server पर report होने तक

  • कई Windows services क्रम से काम करके GDID बनाती हैं
    • wlidsvc service login.live.com से Device PUID मांगती है
    • Connected Devices Platform इस value को Microsoft Device Directory Service में register करता है
    • Delivery Optimization तब GDID को Microsoft को report करता है, जब PC update download या share करता है
  • identifier HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties registry के LID key में store होता है
    • इसका format lowercase g prefix और decimal numbers के combination का होता है
    • सामान्य Windows interface में user अपना GDID नहीं देख सकता
  • GDID assignment block करने पर Windows activation और UWP apps काम नहीं कर सकते
    • Microsoft Activation Scripts बनाने वाले Massgrave के अनुसार, Windows setup प्रक्रिया में hardware information Microsoft को भेजी जाती है और Store access व licensing में इस्तेमाल होने वाला identifier वापस मिलता है

FBI ने VPN sessions को कैसे जोड़ा

  • FBI ने Scattered Spider संगठन के कथित सदस्य Peter Stokes को VPN connections और proxy servers के पार track करने में GDID का उपयोग किया
    • tracking लगभग 8 महीनों तक चली और गतिविधि क्षेत्र 4 देशों में फैला था
  • शिकायत के अनुसार, g:6755467234350028 ने उस समय ngrok signup page access किया, जब हमले में इस्तेमाल account Tzulo VPN proxy के जरिए बनाया गया था
    • 3 घंटे बाद उसी GDID ने उसी proxy के जरिए पीड़ित retail company की website access की
  • जांच अधिकारियों ने उस device को Stokes के Snapchat, Facebook, Apple और Ubisoft accounts से जुड़े IP addresses के साथ cross-check किया
    • संबंधित access locations में Estonia, New York, Thailand आदि शामिल थे
    • Stokes द्वारा Snapchat पर public की गई photos hotel booking और location, तथा GDID से जुड़े travel schedule से मेल खाती थीं
  • VPN के IP addresses अक्सर बदलते रहे, लेकिन Windows इंस्टॉलेशन लगातार वही identifier report करता रहा, जिससे यह VPN sessions के पार tracking clue बन गया

अदृश्य identifier और user control की सीमाएं

  • GDID assign होने पर consent screen दिखाई नहीं देती, और user के पास इसे reset या disable करने की कोई सुविधा भी नहीं है
    • Apple का advertising identifier App Tracking Transparency notification और reset function देता है
    • Android भी similar control functions देता है
  • Windows reinstall करने पर नया GDID बनता है, लेकिन उसी Microsoft account में login करने पर Microsoft नए identifier को पिछली गतिविधियों से जोड़ सकता है
  • Microsoft की public documentation में GDID के बारे में केवल एक वाक्य है, जो enterprise IT administrators के लिए Azure Monitor reference table में इसे “Microsoft द्वारा internally use किया जाने वाला identifier” बताता है
  • security researcher Matthew Hickey ने इस मामले पर Windows को “surveillance software” कहा
  • Costin Raiu ने Three Buddy Problem podcast में सवाल किया कि दूसरे platforms में भी कितनी similar functionality मौजूद है
  • प्रमुख operating systems licensing और security checks के लिए persistent device identification methods बनाए रखते हैं, लेकिन Windows, Apple और Google platforms के विपरीत, user को दिखने वाले control functions नहीं देता

संबंधित tracking घटाने वाली settings

  • GDID को core Windows functions नुकसान पहुंचाए बिना सीधे बंद नहीं किया जा सकता, इसलिए ये settings संबंधित tracking घटाने के उपाय हैं
    • संभव हो तो Microsoft account के बजाय local account इस्तेमाल करें
      • हाल के Windows 11 ने local account setup को और कठिन बना दिया है, लेकिन तरीका जानने वाले users installation के दौरान अब भी इसे चुन सकते हैं
    • Settings → Privacy & security → Diagnostics & feedback में optional diagnostic data बंद करें
    • Privacy & security → Recommendations & suggestions में personalized ads और app launch tracking disable करें
    • Privacy & security → Search में Cloud Content Search बंद करें, ताकि local searches Bing को न भेजी जाएं
    • Activity History और अन्य telemetry options की समीक्षा कर उन्हें disable करें
  • journalism, activism, domestic violence जैसी स्थितियों में, जहां identifier की persistence खतरा बन सकती है, Windows PC और commercial VPN पर निर्भर न रहकर Tor के जरिए Linux use करने की सलाह दी जाती है
  • नया GDID पाने के लिए Windows reinstall करने पर भी, अगर उसी Microsoft account में login किया जाता है तो Microsoft को पिछली गतिविधियों से जोड़ने वाला data मिल जाता है

सीमित public disclosure और आगे की स्थिति

  • subpoena जैसी legal requests Microsoft को GDID activity data जांच एजेंसियों को देने के लिए बाध्य कर सकती हैं, और Scattered Spider case इसका वास्तविक उदाहरण बना
  • Microsoft ने GDID के creation, storage और reporting तरीके को बदलने की कोई बात नहीं कही है, और न ही आम users के लिए control या documentation देने का वादा किया है
  • federal complaint के अलावा public materials में केवल Azure Monitor documentation की छोटी entry है, और फिलहाल complaint का Microsoft telemetry से जुड़ा हिस्सा GDID के काम करने के तरीके को सबसे विस्तार से दिखाने वाला public material है
  • Scattered Spider case अमेरिकी federal court प्रक्रिया में चल रहा है, और users भविष्य में Microsoft के privacy-related updates देख सकते हैं

1 टिप्पणियां

 
GN⁺ 4 시간 전
Lobste.rs की राय
  • जो बात समझ नहीं आती, वह यह है कि Windows GDID Microsoft की बाहरी सेवाओं की activity से कैसे जुड़ता है। क्या device उन services को GDID भेजता है, या Microsoft सभी users की browser activity store करता है? अगर दूसरा सच है, तो सवाल है कि यह सिर्फ Edge में collect होता है या दूसरे तरीकों का भी इस्तेमाल होता है

    • Tech media की reporting अक्सर inaccurate होती है, इसलिए मैंने application खुद देखा। Microsoft logs के जरिए GDID को .168 VPN IP address से जोड़ा गया था, और लगभग उसी समय उसी VPN IP से hacking में इस्तेमाल किया गया ngrok account बनाया गया था
      उस समय कई लोग वह VPN IP share कर रहे हो सकते थे, इसलिए इसे निर्णायक सबूत मानना मुश्किल है। यह कुछ वैसा ही है जैसे murder के समय आसपास मौजूद होने से कोई murderer तो नहीं हो जाता, लेकिन suspect बन सकता है। अस्पष्ट स्रोत वाली दौलत दिखाने और convicted hackers के बारे में बात करने की परिस्थितियों ने शक बढ़ाया होगा, लेकिन search and seizure में leaked data मिलना कहीं ज्यादा convincing है
      यहां GDID ने कोई खास भूमिका निभाई हो, ऐसा नहीं लगता। बात सिर्फ इतनी है कि Microsoft ने FBI को जानकारी देते समय अपने internal analysis में GDID इस्तेमाल किया, इसलिए वह इससे जुड़ा है; account information से जुड़े IP logs collect करने वाली कोई दूसरी company भी इसी तरह report कर सकती थी
    • मेरा अनुमान है कि Windows GDID को Microsoft को भेजता है, और Microsoft IP address और timestamp record करता है। इसे VPN session या web server access जैसे data—जहां IP, time और specific action record होते हैं—से मिलाकर देखा जाए, तो समय के साथ user activity को link किया जा सकता है
  • संबंधित court application यहां है: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Microsoft की confirmation महत्वपूर्ण नहीं है; ऐसी statement के बिना भी इस feature का अस्तित्व पहले ही साबित हो चुका था
    Security researcher Matthew Hickey ने reportedly इस मामले को लेकर Windows को “surveillance software” कहा था, लेकिन यह हास्यास्पद है। Windows spyware है—यह assessment कम-से-कम Windows 10 के release के समय से ही मौजूद है