Windows Smartscreen Telemetrie
Windows Smartscreen Telemetrie
Windows 10 zeigte als Betriebssystem wie Sicherheit im Sinne eines billionenschweren Konzerns funktioniert. Nämlich so, dass diejenigen welche die Regeln machen, auch gleichzeitig sagen was sicher ist und was nicht. Es verwundert nicht, dass die Microsoft Corporation zahlreiche Mechaniken in dem Betriebssystem Windows 10 integrierte um sich Anwenderdaten im großen Stil einzuverleiben. Gefragt oder ungefragt.
Microsoft stand diesbezüglich öfters in der öffentlichen Kritik offizieller Behörden wie z.B. dem BSI (Bundesamt für Sicherheit in der Informationstechnik) oder dem ACSC (Australian Cyber Security Centre).
Als Programmbestandteil, welches uns Anwendern eigentlich Sicherheit versprechen soll, dient Windows Smartscreen, bzw das Programm Windows Defender, welches den Rechner nach Viren und anderen Bedrohungen scannt und entsprechenede Maßnahmen ergreifen kann.
Da sich diese Webseite mit Verbindungen beschäftigt um neugierige und unnötige Dienste zu blockieren, stand der Smartscreen-Dienst schnell im Fokus da dieser umfangreiche Daten erfasste, gar ganze Dateien ins Netz lud und Adressen kontaktierte ohne dass hierzu ein Einverständnis gegeben oder ich als Anwender darüber informiert wurde.
Gesammelte Adressen aus Windows 10
Through Smartscreen, Microsoft gains not only a detailed view of folder structures but can also theoretically gain insights into user interests, mixed with unique identifiers. This happens for free with every click on an executable file to be installed.
An excerpt of the diagnostic data, presented here as a screenshot. The content barely differs for the mentioned addresses.
IP-Adressen:
65.52.226.14
hostnamen:
canonicalizer.ucsuri.tcs
checkappexec.microsoft.com # /windows/shell/telemetry und # /windows/shell/service/beforeExecute/2
t.checkappexec.microsoft.com # /windows/shell/telemetry
nav.smartscreen.microsoft.com # /windows/browser/edge/telemetry Windows 10
nf.smartscreen.microsoft.com # /network/filter/telemetry Windows 11
europe.smartscreen-prod.microsoft.com
brazil.smartscreen-prod.microsoft.com
unitedstates.smartscreen-prod.microsoft.com
unitedkingdom.smartscreen-prod.microsoft.com
sfdataservice.microsoft.com # /smartinstall/v1.0/suggestions/suggest
IP-Addressen:
94.184.220.29 » 23.78.19.39 » 40.112.90.122 » 137.116.234.82 » 40.118.61.1 » 104.214.220.181 » 40.112.75.175
hostnamen:
e16646.g.akamaiedge.net
wd-prod-ss-eu-north-1-fe.northeurope.cloudapp.azure.com
wd-prod-ss-eu-north-2-fe.northeurope.cloudapp.azure.com
wd-prod-ss-eu-west-1-fe.westeurope.cloudapp.azure.com
wd-prod-ss-eu-west-2-fe.westeurope.cloudapp.azure.com
telemetry.urs.microsoft.com
w.apprep.smartscreen.microsoft.com
urs.microsoft.com
c.urs.microsoft.com
bf.smartscreen.microsoft.com
cscasha2.ocsp-certum.com
subca.ocsp-certum.comWird etwas aus dem Windows Store von Microsoft installiert, aktiviert sich zusätzlich noch die "licensing.mp.microsoft.com".
Während die "licensing" Adresse sogar noch Sinn macht um Produktschlüssel zu überprüfen, gibt Smartscreen aufgenommene Diagnosedaten vom Computer des Nutzers in Bezug auf Installationsverzeichnissen, Installationsuhrzeit, Spracheinstellungen, was wird wohin installiert?, Betriebssystem/version, Wohnort, eindeutiger Correlation ID, Einstellungen zu gemachten Gruppenrichtlinien uvm. direkt weiter.
Gesammelte Adressen aus Windows 11
Windows 11 setzt führt das System weiter, denn auch hier ist Smartscreen aktiv bei jedem Programmstart. Klar Smartscreen als Schutzmechanis muss funktionieren aber in Verbindung mit anderen Diensten kann man nicht mehr von eigener Datensicherheit sprechen.
checkappexec.microsoft.com/windows/shell/actionsEine weitere Änderung mit Windows 11 bezieht sich auf eine einzene Adresse die wie im Codeblock ersichtlich von nav.smartscreen.microsoft.com zu nf.smartscreen.microsoft.com geändert wurde. Das Vorgehen ist allerdings dasselbe. Der aufbereitete Datensatz aktivierte sich während der Firefox-Browser der Mozilla Corporation geöffnet wurde. Der SmartScreenHash ist Base64 codiert.
smartscreen_telemetry_win_11.txt - 29.01.2025 - CRC32: 20007ABDDetails: smartscreen_telemetry_win_11.txt - Dateigröße: 9.85 kB
Sha-256: 88DED273FDA56D1EF8A7DCBFB0F365852DC43E3CC969D0261085384ACBFE56A2
Authorization: SmartScreenHash
eyJhdXRoSWQiOiIyQUQwNEI2RS0yQjI1LTRGMUMtOEFGNi1CMDU2QkRCNDYwOUYiLCJoYXNoIjoiNkNlMFJuNlhkaGs9Iiwia2V5IjoiMkxNQ09haVhjVlRZa0xPcVZTSE85UT09In0=
ergibt:
Authorization: SmartScreenHash
{"authId":"2AD04B6E-2B25-4F1C-8AF6-B056BDB4609F","hash":"6Ce0Rn6Xdhk=","key":"2LMCOaiXcVTYkLOqVSHO9Q=="}Wieder mit dabei eine eindeutige Correlation ID, Ordnerpfade, Prozessnamen, Spracheinstellungen, Zeitstempel, Systemeinstellungen, Software, Betriebssystemversion uvm.
Smartscreen linked to program launches, such as a game started by the user, which, alongside Smartscreen, simultaneously contacts Microsoft's Xbox network and notifies the corporate giant.
This curious behavior cannot be disabled with settings implemented for users.
Malware Protection Command Run | MpCmdRun.exe
MpCmdRun ist ein Befehlszeilenwerkzeug und ist Bestandteil der Windows Defender Software in Windows 10. Hier ist es aufgeführt weil mit Hilfe dieser Datei ein nicht authorisierter Upload vorgenommen wurde. Es handelte sich um die Installationsdatei des Yandex Browsers, die mit der Meldung einer Überprüfung an die Microsoftsoftserver geleitet wurde.
Hier könnte man grübeln ob es zu der Taktik "Neben Russen ist auch russische Software böse" gehört (Nachträgliche Anmerkung: Seit Artikelerstellung 2019 ist das Thema 2022 aktueller den je)... So oder so war es ein nicht Upload eigener Dateien ohne Einverständnis oder Benachrichtung der Anwender
Das ganze ging an
IPv4:
52.239.137.228
hostname:
usseu1northprod.blob.core.windows.netsfdataservice.microsoft.com in Windows 10:
Mit dem Patch auf Version 1809 von Microsoft Windows 10 wurde Smartscreen um einen Dienst erweitert, sodass Microsoft sich die Möglichkeit einräumte noch mehr Daten zu erfassen.
Neu dazugekommene Hostnamen/Ips: sfdataservice.microsoft.com
https://sfdataservice.microsoft.com/smartinstall/v1.0/suggestions/suggestsfdataservice.microsoft.com
23.78.19.39
e16646.g.akamaiedge.netSFDataService im Detail:
Mit einem Klick auf die zu installierende Datei werden vom Nutzer verschiedene Dinge erfasst. So sind das z.b. das Installations bzw. Verzeichnis der gestarteten Datei+Dateiname+Dateigröße, Downloadquelle, Win32/64 System, ReferrerUrl, Zeitstempel, Spracheinstellungen, die SID (SicherheitsID als eindeutige und unveränderliche Nutzerkennung), eine CorrelationID (oder GUID = globally unique identifier)
Zusätzlich...sofern vorhanden, Publisher der installierenden Datei, Betriebssystemversion, Angaben Lizenzversion (Enterprise), Internet-Explorer+Microsoft-Edge Version, Zone des Nutzers (Länder sind nach Zonen aufgeteilt) und einige andere Dinge mehr.
Die SFDataService ist gekoppelt mit der CheckAppExec Smartscreen Telemetrie:
https://checkappexec.microsoft.com/windows/shell/telemetry
https://checkappexec.microsoft.com/windows/shell/service/beforeExecute/2
Der SFDataService ist seit 1809 neu in Windows 10 mit von der Partie und funkt mit voller Elan durch die Gegend.
Ein Auszug der Diagnosedaten hier als Screenshot aufbereitet. Inhalte unterscheiden sich für genannte Adressen kaum.
Ipv4: 65.52.226.14:443
checkappexec.microsoft.com
https://checkappexec.microsoft.com/windows/shell/telemetryPOST /windows/shell/telemetry HTTP/1.1
Accept-Encoding gzip, deflate
User-Agent SmartScreen/2814750970478593
Authorization SmartScreenHash eyJhdXRoSWQiOiJhZGZmZjVhZC1lZjllLTQzYTYtYjFhMy0yYWQ0MjY3YWVlZDUiLCJoYXNoIjoiU3RXUHhYNk10ZFk9Iiwia2V5IjoiQmJleWZNZUI2L2tZTUhhL0pDQXdEZz09In0=
Content-Length 1585
Content-Type application/json; charset=utf-8
Host checkappexec.microsoft.com
Connection Keep-Alive
Cache-Control no-cache
HTTP/1.1 200 OK
Cache-Control max-age=0, private
Server Microsoft-HTTPAPI/2.0
X-SmartScreen-Flight-Vector spartan-title-techscam-model-v2
Date Fri, 06 Dec 2019 16:08:01 GMT
Content-Length 0
Connection close
{
"config": {
"device": {
"appControl": {
"level": "anywhere"
},
"appReputation": {
"enforcedByPolicy": false,
"level": "warn"
}
},
"user": {
"uriReputation": {
"enforcedByPolicy": false,
"level": "off"
}
}
},
"correlationId": "C8F1E9C6-9335-4951-AA67-112BCB100189",
"events": [{
"$type": "scenario",
"name": "onAllowedZoneCheck"
}, {
"$type": "onAllowedZoneCheck",
"authenticode": null,
"hash": "f+bNTCd6JZ6P70vidfa7Zjprzjd7ytQToEEuTCqNPR8=",
"name": "japanisch.txt",
"size": "257",
"verb": "open"
}],
"executionTime": "74614",
"identity": {
"caller": {
"locales": ["de-DE", "de", "en-US", "en"],
"process": {
"application": {
"$type": "win32",
"path": "C:\\Windows\\explorer.exe"
},
"creationTime": "132201084456589603",
"id": 6956
}
},
"client": {
"data": {
"offlineExperience": "279065556838778881365128249054986229491",
"script": "336273089957297446437176090113554533354.rel.v2"
},
"version": "2814750970478593"
},
"device": {
"architecture": 9,
"browser": {
"edge": "Microsoft.MicrosoftEdge_44.18362.449.0_neutral__8wekyb3d8bbwe",
"internetExplorer": "9.11.18362.0"
},
"cloudSku": false,
"enterprise": null,
"family": 3,
"locale": "de-DE",
"netJoinStatus": 2,
"onlineIdTicket":
"t=GwAWAd9tBAAUbd7jjTETE61kse6bFnP4+gMN5XcOZgAAEMalwwVPpj+kdM0cOnO6/QbgANseuFDfrhLWKRSOz7z9xFY4/WZWNMBfIcg31umuCkoiFHrUdTYCXaPuRwFuXfR1sOnPsWLDm3+AuQjx//0fhRRdNKzODUtgMmqKTVFL1rE4fXDRfMPm5FiRhwHRF9kzhe8iKr6FOvq3mjloCfWa0gnygDn5s2WgRcAnEk4E/uKcF8crPs/DECXCdMPalmj9UpX+RPLF8PcQiNCz4Z+3TA2jKKZCsd4uMhakTwPO4V+wvggaLN4qu6FL9KhCeePpKnWF4hvsSoUoO2j2HQAF/JLeHaFOtG6lu16tOx7yKNNCHAE=&p=",
"osVersion": "10.0.18363.476.19h1_release"
},
"user": {
"locale": "de-DE"
}
},
"random": 0.00062982819507525784,
"samplingRates": {
"none": 0.001
}
}Sicherheit (im Sinne des Datenschutzes)
Das Verhalten von Smartscreen und damit hauseigenen Bestandteilen eines Betriebssystems zeigen, dass Sicherheit eine Frage der Auslegung ist und Sicherheit von denen festgelegt wird, die das System zur Verfügung stellen und damit ihre ganz eigenen Interessen verfolgen. Wie es auch schon im Fall vom Datenausverkauf bei Avast oder Malwarebytes Falschmeldungen und der Malwarebytes Telemetrie zu sehen war.
Es darf nicht vergessen werden, das einverleibte Daten auf der anderen Seite wieder verkauft werden u.A. als Bestandteil von Endpoint & Cloudprodukten. Kein Wunder also, dass selbstlegitimierter Datenklau weder erwähnt noch blockiert wird. Diese Dienste werden ungefragt durchgewunken.
Dazu kommt die Tatsache, dass Microsoftdienste bei nahezu allen Herstellern von sogenannter Sicherheitssoftware automatisch auf sogenannten Whitelists stehen und damit generell per Voreinstellung alles erlaubt sind.
Anwender müssen somit wie bei vielen anderen Dingen auch aktiv werden.
Schnüffelei blockieren per hosts Datei?
Das Blockieren per hosts Datei kann Probleme mit sich bringen und zwar wenn Microsoft der Ansicht ist, dass Telemetriedienste und andere Dienste in der host stehen die dort ihrer Ansicht nichts drin zu suchen haben. Denn dann wird die host Datei entweder vom Windows Defender/Smartscreen direkt in die Quarantäne verschoben oder es wird sich über host-Regeln einfach hinweg gesetzt.
Nichtsdestotrotz sollten Anwender die auf eigene Datensicherheit bedacht sind, eine hosts Datei als Basis der eigenen Umgebung verwenden um unerlaubten Datenverkehr zu unterbinden oder diesen ggf. einzugrenzen. Auch gibt es im Internet zahlreiche kleine Helferlein zu finden die Sicherheit versprechen. Aber Achtung, auch hier gibt es einige schwarze Schafe wie Win10PrivacyFix von der Abelssoft Ascora GmbH die auf fragwürdigem Wege mit ihrer Software Daten erfassen und gleichzeitig Datensicherheit versprechen.
