Microsoft Edge又发生了窃取用户数据的丑闻
进入2020年以来,Edge浏览器就因为数据泄漏问题,被曝光了多次。今年3月,来自都柏林圣三一学院的研究团队,发现Edge浏览器中存在一个基于用户硬件设备的持久标识符,随着时间的推移,该标识符可用于取消匿名限制,并精准捕捉到用户的身份。
与此同时,谷歌Chorme工程师指出,Edge浏览器存在隐私安全的风险,而微软工程师则指责谷歌是在恶意打击刚发展不久的Microsoft Edge。
谷歌工程师对Edge的批评近日重新引发了舆论的重视。微软官方就Edge的隐私安全问题给出了简明的回应。
Edge浏览器向后台发送数据,目的是为了进行产品的改进和优化,以便让我们进行下一次升级,征用的数据的确包括设备标识符,但这不是为了检测用户的浏览记录。
紧接着在5月,安全研究人员 Manuel Caballero 已经在微软 Windows 10 默认的 Edge 浏览器中发现了一个漏洞。攻击者们可利用它来窃取用户计算机上的密码或 cookie 数据,从而未经授权地访问其它网站的账号(比如 Facebook 或 Twitter)。微软解释称,漏洞源于 Edge 浏览器“同源策略”(SOP)中的一个问题,而原本这项安全措施是用来防止某个域名下的数据被另一个域名所使用。
6 月 29 日, 有用户反映,新版 Edge 会出现从 Chrome、Firefox 浏览器导入数据,即便用户未授权,Edge 也会进行此操作。对于出现的这种情况,微软的一位发言人称:
我们相信浏览器的数据属于用户,他们有权决定他们使用哪个浏览器。与其他浏览器一样,微软 Edge 也为人们提供了在设置过程中导入数据的机会。
研究人员表示给用户提供选择机会当然是好事,但如果提供的选择只有一个,就有点耍流氓了。
有用户反映,更新完系统,待 Edge 安装完成后,微软会显示一个最大化的 Edge 窗口给用户,但它会先弹出一个只包含 “Get Started”按钮的模态对话框。因此用户无法直接关闭 Edge 也无法关闭模态对话框。唯一的选择是使用任务管理器来终止此进程。并且除非通过任务管理器关闭它,如果执行强制初始设置,Edge 都会复制 Chrome、Firefox 的数据。
还有用户反映, 在Windows更新之前,他只用Chrome浏览器。当Windows更新后, Edge会被自动安装到电脑上,且当安装完成后,Edge会主动提供了一个全屏欢迎页面。就算点击了全屏欢迎页面右上角的“close”按钮, Edge仍然固定在任务栏上,当用户将鼠标悬停在任务栏上时,Edge就显示了他们在Chrome上访问过的所有网站记录。因此,它一定是从Chrome那里窃取了数据,因为这是他曾经使用过的唯一浏览器。因此就有用户怀疑,在Edge被固定在任务栏的那一刻,它已经获取了包括密码在内的所有数据,并可能将任何有用的数据发送到了云端。
但是,这种经历会让用户觉得Edge就是一个恶意软件,除此之外,无任何其他解释方式。如果有应用程序都在不询问用户的情况下从另一个应用程序导入数据,尤其是当用户甚至没有尝试过安装它,那这个程序一定是个恶意程序。