A Microsoft confirma o identificador do dispositivo Windows GDID que não pode ser desativado para uso do FBI para rastrear todos que usam windows 11

A Microsoft reconheceu publicamente a existência do Global Device Identifier (GDID), um ID específico do dispositivo atribuído a instalações do Windows, em uma queixa federal apresentada por promotores dos EUA contra um suposto membro do grupo de hackers Scattered Spider.
O ID é gerado quando o Windows é configurado com uma Conta da Microsoft, persiste durante as atualizações do Windows e não pode ser desativado sem afetar a ativação do Windows e os aplicativos da Microsoft Store.
A Microsoft mencionou brevemente o GDID na documentação do Azure Monitor, descrevendo-o apenas como "um identificador usado pela Microsoft internamente". A reclamação cita um representante da Microsoft descrevendo o GDID como "um identificador persistente no nível do dispositivo projetado para identificar exclusivamente uma instalação de um sistema operacional Windows em um dispositivo, seja um dispositivo físico, como um telefone celular ou laptop, ou uma máquina virtual, em determinados serviços e cenários da Microsoft".
O que é o Identificador de Dispositivo Global do Windows e como o FBI o usou
O Global Device Identifier (GDID) é um ID permanente atribuído quando o Windows fornece uma Conta da Microsoft. É gerado por uma cadeia de serviços do Windows.
O serviço wlidsvc solicita um Device PUID de login.live.com, que é então registrado no Serviço de Diretório de Dispositivos da Microsoft pela Plataforma de Dispositivos Conectados.
A Otimização de Entrega relata o GDID de volta à Microsoft quando o PC compartilha ou baixa atualizações. Este identificador é armazenado no registro do Windows em HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties e formatado com um prefixo "g" minúsculo seguido por um número decimal.
É relatado aos servidores da Microsoft e permanece persistente em todas as atualizações do Windows, mas não é retido após uma reinstalação limpa. A Microsoft reconheceu que um usuário pode ter vários GDIDs vinculados por meio de sua conta, OneDrive e histórico de ativação.
O FBI usou o GDID para rastrear Peter Stokes, suposto membro do Scattered Spider, em conexões VPN, servidores proxy e em quatro países por cerca de oito meses.
De acordo com a reclamação, o GDID g:6755467234350028 foi gravado visitando a página de inscrição do ngrok ao mesmo tempo em que uma conta usada no ataque foi criada por meio de um proxy Tzulo VPN. Três horas depois, o mesmo GDID acessou o site de um varejista de vítima através do mesmo proxy.
O dispositivo foi cruzado com endereços IP vinculados às contas de Stokes no Snapchat, Facebook, Apple e Ubisoft na Estônia, Nova York, Tailândia e outros locais. As fotos públicas do Snapchat de Stokes correspondiam a reservas de hotéis, locais e cronogramas de viagem associados ao GDID.
A natureza persistente do GDID em sessões de VPN provou ser um ativo investigativo fundamental. Embora os endereços IP VPN mudem com frequência, a instalação subjacente do Windows continuou relatando o mesmo identificador, auxiliando os investigadores em seus esforços de rastreamento.
Por que os pesquisadores de privacidade estão preocupados e o que os usuários podem fazer
Vários pesquisadores de segurança levantaram preocupações sobre a visibilidade e o controle que os usuários têm sobre o GDID:
- Não há tela de consentimento quando o GDID é atribuído. O identificador de publicidade da Apple requer um prompt de Transparência de Rastreamento de Aplicativos com uma reinicialização visível. O Android fornece controles semelhantes. GDID não tem nenhum dos dois.
- Dependência de ativação. Massgrave, o grupo por trás do Microsoft Activation Scripts, observou que a configuração do Windows envia informações de hardware para a Microsoft e recebe de volta identificadores que são usados posteriormente para acesso e licenciamento da Loja. Bloquear a atribuição de GDID interrompe a ativação e os aplicativos UWP.
- A reinstalação do Windows produz um novo GDID, mas fazer login novamente na mesma Conta da Microsoft dá à Microsoft um caminho claro para vincular o novo identificador à atividade anterior.
- A documentação pública da Microsoft do identificador consiste em uma frase em uma tabela de referência do Azure Monitor para administradores de TI corporativos.
O pesquisador de segurança Matthew Hickey caracterizou o Windows como "software de vigilância" em resposta ao caso. Costin Raiu perguntou no podcast Three Buddy Problem quanta funcionalidade semelhante existe em outras plataformas.
Usuários preocupados com o GDID têm opções diretas limitadas porque o identificador não pode ser desativado sem quebrar a funcionalidade principal do Windows. As etapas práticas que reduzem o rastreamento relacionado incluem:
- Use uma conta local em vez de uma Conta Microsoft quando possível. O Windows 11 tornou isso mais difícil em versões recentes, mas a opção ainda está disponível durante a configuração para usuários que sabem como alcançá-la.
- Desative os dados de diagnóstico opcionais em Configurações, Privacidade e segurança, Diagnóstico e feedback.
- Desativar anúncios personalizados e iniciar rastreamento em Privacidade e segurança, Recomendações e ofertas.
- Desative a Pesquisa de Conteúdo na Nuvem em Privacidade e Segurança, Pesquisa, para impedir que as pesquisas locais enviem dados para o Bing.
- Revise e desative o Histórico de Atividades e outras opções de telemetria nas configurações de Privacidade e segurança.
- Para jornalismo, ativismo ou situações de abuso doméstico em que a persistência do identificador representa uma ameaça, use o Linux roteado através do Tor em vez de confiar em uma VPN comercial com um PC com Windows.
Os usuários que reinstalarem o Windows para obter um novo GDID devem estar cientes de que o login novamente na mesma conta da Microsoft fornece à Microsoft dados que vinculam o novo identificador à atividade anterior.
O que o GDID significa para usuários do Windows e quão amplamente ele é implantado
Para os aproximadamente 1,6 bilhão de usuários do Windows em todo o mundo, o GDID tem operado silenciosamente em segundo plano, sem qualquer divulgação pública ou controles de usuário. A reclamação recente revelou a existência desse identificador, mas a Microsoft não se comprometeu a fornecer controles ou documentação voltados para o usuário para usuários regulares.
Usuários preocupados com o rastreamento no nível do dispositivo devem estar cientes de que o identificador está anexado à conta, não ao dispositivo, o que significa que reinstalar o sistema operacional não quebra o link.
A maioria dos principais sistemas operacionais mantém alguma forma de identidade persistente do dispositivo para fins como licenciamento e verificações de segurança, mas o Windows difere de plataformas como Apple e Google por não oferecer controles visíveis.
Solicitações legais, como intimações, podem obrigar a Microsoft a compartilhar dados de atividades do GDID com a aplicação da lei, como exemplificado pelo caso Scatterted Spider. O GDID está presente em todas as instalações do Windows vinculadas a uma Conta da Microsoft.
Os usuários não podem visualizar seu próprio GDID através de interfaces padrão do Windows; ele é armazenado no registro em HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties sob a tecla LID. A Microsoft não indicou nenhuma alteração na forma como o GDID é gerado, armazenado ou relatado.
A única referência pública fora da reclamação federal é uma breve nota na documentação do Azure Monitor. Os usuários podem monitorar as atualizações de privacidade da Microsoft, mas a empresa não sinalizou planos para fornecer mais informações públicas sobre o GDID.
O caso Scattered Spider está progredindo através do sistema judicial federal dos EUA. Para aqueles interessados nos detalhes técnicos, revisar a discussão da reclamação sobre a telemetria da Microsoft oferece a explicação pública mais clara de como o GDID opera até o momento.
Comentários