Microsoft'un piyasaya sürmesine çok az bir zaman kalan Windows 8, bildiğiniz gibi SmartScreen adlı bir güvenlik işleviyle geliyor. SmartScreen, yüklediğiniz her programı Microsoft'a bildirerek onun zararlı olup olmadığını öğreniyor. Ancak bir güvenlik araştırmacısına göre bu işlev, hacker'lar tarafından kötüye kullanılabilir.
Güvenlik araştırmacısı Nadim Kobeissi, yüklenen her programla ilgili bilgilerin Microsoft'a gönderildiğini vurguluyor. Bunun amacı, kullanıcının internetten yüklediği uygulamayı yüklemenin güvenli olup olmadığını bildirimek. Bu bilgileri ele geçirmenin mümkün olup olmadığını merak eden araştırmacı, Microsoft'un "süresi geçmiş ve güvensiz" bir HTTPS şifrelemesi yöntemi kullandığını ortaya çıkarmış. Dolayısıyla Kobeissi'ye göre bir hacker, kullanıcının uygulama yükleme alışkanlıklarını öğrenebilir ve bu yolla kullanıcının bir profilini ortaya çıkarabilir. Bu ise hacker'ın kullanıcının diğer zaafiyetlerini öğrenmesi demek.
SmartScreen'deki bu "açık", işletim sistemi seviyesinde ilk kez Windows 8'e entegre edildiğinden, sadece Windows 8'i ilgilendiriyor. Windows 8'deki SmartScreen işlevini devre dışı bırakmanıza izin veriliyor, ancak bu çok kolay değil ve işletim sistemi onu açmanız konusunda sizi periyodik olarak uyarıyor.
Kobeissi'nin bu bulgularının ardıdan Microsoft, SmartScreen ile ilgili önemli bir açıklama yaptı. Haberimizin ikinci sayfasında.
Microsoft'un SmartScreen açıklaması
Nadim Kobeissi'nin yaptığı açıklamada değindiği diğer bir konu ise, Microsoft'un topladığı verilerin merkezinin Microsoft olması, dolayısıyla bu verilerin hukuki durumlarda kullanılabilmesiydi.
Microsoft'tan bir yetkili ise "Program ve kullanıcılara ait IP verilerinin tarihsel bir veritibanını tutmadığımızı onaylıyoruz" dedi ve şunları ekledi: "Tüm çevrimiçi hizmetlerde olduğu gibi, IP adresleri hizmetimize bağlanmak için gereklidir ancak onları periyodik olarak günlüklerimizden siliyoruz. Gizlilik şartlarımızda belirtildiği gibi kullanıcılarımızın gizliliğini korumak üzere gerekli adımları atıyoruz. Bu verileri kullanıcılarımızı tanımlamak, onlarla iletişime geçmek veya onlara belirli reklamlar göstermek amacıyla kullanmıyoruz ve üçüncü partilerle paylaşmıyoruz."
Microsoft SSLv2.0 ile ilgili olan soruna ise "bu protokolü artık kullanmayacağız" yanıtını veriyor ve Windows 8 ve SmartScreen'in bu sürümü desteklemediğini söylüyor. Kobeissi ise bu bu sorunu internette yayınlamasının 14 saat ardından sunuculardaki SSLv2 desteğinin kalktığını söylüyor. Dolayısıyla SSL bağlantısının güvenliği konusunda şimdilik bir sorun yok gibi görünüyor.
Sonuç olarak Windows 8'deki SmartScreen işlevinde şu an itibariyle bir güvenlik açığı olmasa da, geliştirilmesi gereken alanların var olduğu anlaşılıyor.