Hinter dem kleinen Netzwerksymbol in der Taskleiste in Windows versteckt sich der Network Connectivity Status Indicator (kurz NCSI) der uns anzeigen soll, ob zum Internet eine Verbindung besteht. Ein Mehrwert für Endverbraucher besteht weniger.
Solche Verbindungstests stehen oft im Zusammenhang mit einem Captive Portal welche regelmäßig kontaktiert werden und erzwingen permanente Clientverbindungen zu diversen Institutionen.
Neben der Microsoft Corporation haben auch Konzernriesen wie Google diese Abfragen für sich entdeckt und immer weiter ausgebaut.
Die Netzwerkverbindungs-Statusanzeige (Network Connection Status Indicator, NCSI) erkennt den Status der Verbindung mit dem Internet und dem Unternehmensnetzwerk.
NCSI sendet eine DNS-Anforderung und HTTP-Abfrage um zu überprüfen ob das Gerät mit dem Internet kommunizieren kann.
Kurz gesagt, das Gerät halten ständigen Kontakt mit den Microsoft-Servern und der IANA aufrecht. Damit weiss Microsoft auch Bescheid über Nutzungszeiten, Standort, Betriebssystem/Version, Sprache, Zeit und IP-Adresse des Anwenders.
Involvierte Adressen
client.wns.windows.com
dns.msftncsi.com
example.org
iana.org
ipv4only.arpa
ipv6.msftconnecttest.com # Ipv4 Test
www.msftconnecttest.com # Ipv4 Test
Als Rückgabe der Abfragen wird z.B. eine connecttest.txt mit einem OK Rückgabewert ausgegeben
In Versionen von Windows 10 vor Windows 10, Version 1607 und Windows Server 2016 lautete die URL "http://www.msftncsi.com".
Aktive Tests der Windows-Netzwerkverbindungs-Statusanzeige deaktivieren
Aktiviert
Spiele mit NCSI Anbindung
In der auf gameindustry.eu angebotenen hosts Dateien und Suche wurde die NSCI Abfrage auch in verschiedenen Spielen entdeckt welche über die Suche oder hosts-Dateien erreichbar sind: Zamarian, Marble Duel und Governor of Poker 3
Kontaktierte Hostnamen/Ips
www.msftncsi.com
NCSI auch in anderen Produkten
Der NCSI Dienst ist auch in Browsern wie dem Mozilla Firefox oder auf Mobilgeräten zu finden.
Mozilla Firefox nutzt hierfür den Eintrag http://detectportal.firefox.com welcher als Captive Portal fungiert.
Auch das am weitesten verbreitete System für Mobilgeräte - Android verwendet wie Windows eine Netzwerkverbindungs-Statusanzeige die in regelmäßigen Abständen die http://connectivitycheck.android.com und http://clients3.google.com kontaktiert und gleichzeitig neben bereits erwähnten Daten die Kennung des verwendeten Gerätes mitschickt.
Durch regelmäßige Callbacks können Netzwerkanfragen somit als Telemetrie und Analysewerkzeug gesehen werden. Notwendig für den Betrieb ist die NCSI Anfrage jedenfalls nicht. Weder für genannte Produkte, noch im Praxiseinsatz von Windows.
Der Datenkonzern Google, LLC verwendet die Captive-Abfragen in weiteren Diensten und verknüpft diese mit Zeitstempeln, Suchergebnissen, Anwenderaktionen und Trackingcookies. Daten werden z.b. benötigt um Anwender mit Werbung zu gängeln oder Profile zu erstellen. Die Laufzeit dieser Cookies reicht von einem Monat bishin zu 20 Jahren.
Die Beispiele zeigen google.de - Das Verhalten gilt allerdings für alle Google Top-Level Endungen wie *.com, *.se, *.co.jp usw.