Корпорация Microsoft с конца июля 2020 г. начала определять файлы hosts, блокирующие серверы телеметрии Windows 10, как существенную угрозу безопасности компьютера.

Microsoft усложняет защиту от сбора данных телеметрии

Microsoft лишила пользователей операционной системы Windows 10 возможности безопасно применять нестандартный и весьма популярный способ блокировки телеметрии – слежки за действиями пользователей и отправки данных на серверы корпорации.

Как сообщил портал BleepingComputer, с июля 2020 г. встроенная в Windows 10 антивирусная программа «Защитник Microsoft» (Microsoft Defender) начала определять системные файлы hosts как «серьезную угрозу» (“SettingsModifier:Win32/HostsFileHijack”), если в них внесены адреса интернет-служб корпорации, ответственных за сбор данных о системе. Именно таким образом некоторые «продвинутые» пользователи запрещают Windows передавать Microsoft какую-либо информацию о своем ПК.

Результаты тестов, проведенных специалистами издания, показали, что теперь, если пользователь просто попытается сохранить измененный файл hosts, он получит предупреждение о том, что «операция не была завершена успешно, поскольку файл содержит вирус или потенциально нежелательное ПО».

Актуальность проблемы также подтверждается внезапным появлением некоторого количества жалоб со стороны пользователей Windows 10 на странную реакцию Microsoft Defender, в частности на популярном ресурсе Reddit и форуме поддержки Microsoft, причем именно в конце июля 2020 г.

BleepingComputer связывает возникновение проблемы с неданвним обновлением Microsoft антивирусных баз «Защитника». Издание обратилось к Microsoft за комментарием, но на момент выхода данного материала ответа не получило.

Что такое hosts, и как он работает

Hosts представляет собой текстовый файл, содержащий список доменных имен и используемый при их трансляции в сетевые адреса узлов.

В Windows NT и более поздних версиях ОС Microsoft этот файл располагается в папке “windows\system32\drivers\etc”, для его редактирования требуются привилегии администратора. Запрос к файлу имеет приоритет перед обращением к серверам доменных имен (Domain Name Server, DNS).

С помощью правки файла hosts можно осуществлять фильтрацию рекламы или блокировать доступ системы к сетевым ресурсам с помощью перенаправления доменных адресов соответствующих ресурсов на IP-адрес 127.0.0.1, который соответствует локальной машине.

Данная особенность позволяет некоторым вредоносным программам перенаправлять пользователя на фальшивые веб-сайты, которые, как правило, внешне сильно напоминают привычные ему ресурсы (к, примеру, социальные сети) и расположены по схожему адресу.

Антивирусные программы, использующие проактивные методы защиты, могут запрещать изменение hosts неизвестному ПО или предупреждать о подобных попытках.

Игнорировать угрозу небезопасно

Издание отмечает, что пользователь все же может проигнорировать угрозу и на свой страх и риск отказать Microsoft Defender в ее устранении, однако из-за этого может подвергнуться реальной опасности, если, например, файл hosts модифицировал не только сам пользователь, но и какое-либо вредоносное ПО.

Какие данные собирает Microsoft

В 2017 г. Microsoft выпустила обновление Creators Update для Windows 10, в котором разделила всю собираемую о пользователе информацию на два раздела – базовый и полный. В базовый вошли сведения о компьютере, на котором запускается ОС, а также данные о качестве работы системы и подробности о совместимости приложений и Windows Store.

Полный комплект включает общую информацию, данные об использовании продуктов и сервисов, установке приложений, потреблении контента, а также о просмотре страниц, поиске и запросах в интернете. Сюда же относятся сведения о рисовании, наборе текста и распознавании речи, данные о лицензии и приобретении. Другими словами, полный набор подразумевает сбор сведений о практически любой деятельности пользователя за ПК под управлением Windows 10. После установки обновления Creators Update пользователи получали возможность деактивировать один из них.

Microsoft планировала разрешить корпоративным клиентам полное отключение телеметрии осенью 2015 г. после того, как через два дня после релиза Windows 10 в июле на нее обрушился шквал критики пользователей из-за слежки за ними. Они были недовольны тем, что Microsoft собирает слишком много различных данных о них и затем использует информацию, в том числе, для показа персонифицированной рекламы.

Выпустить важный для многих апдейт и позволить отключать «всевидящее око» Microsoft собиралась до конца 2015 г. В более поздних версиях ОС такая опция действительно появилась, но Windows продолжала следить за пользователями даже после ее активации.

Как сообщал CNews, о проблемах с постоянно работающей телеметрией стало известно в декабре 2018 г. Проблема оказалась в том, информация об активности пользователей воспринималась самой ОС как диагностическая, и в результате она продолжала передавать ее на серверы Microsoft.

В феврале 2020 г. CNews сообщил, что Microsoft все же позволила корпоративным пользователям ОС Windows 10 отключать телеметрию. Изменения в вопросах, касающихся телеметрии, были обнаружены специалистами Баварского государственного управления по надзору и защите информации (Bavarian State Office for Data Protection Supervision, Германия). По их словам, новые опции были внедрены в обновление 1909, распространение которого началось в конце 2019 г.