Secondo Nadim Kobeissi, sviluppatore noto per aver creato il servizio di chat sicura Cryptocat uno sviluppatore, il servizio SmartScreen di Windows 8 mette a rischio la privacy per verificare che le applicazioni installate siano sicure. Da Redmond ribatto
Un doppio compito di importanza vitale: verificare che le applicazioni installate sul pc siano sicure e registrare quali e come queste sono utilizzate. Fra le doti di Windows 8 c’è un servizio SmartScreen che risponde ai requisiti di cui sopra nell’ottica di garantire maggiore sicurezza ma fa anche da spia per conto di Microsoft sulle abitudini d’uso degli utenti.
A tale conclusione, che aprirebbe il fronte a un non trascurabile problema di violazione della privacy, è giunto Nadim Kobeissi, studente e sviluppatore noto per aver creato il servizio di chat sicura Cryptocat. La tesi accusatoria è la seguente: “Windows 8 è configurato per dire immediatamente a Microsoft tutto sulle applicazioni installate. Tali informazioni si potrebbero vendere a terzi, che a loro volta potrebbero usarle per spedire spam”.
Leggerezza del colosso di Redmond, i cui server sono compatibili con il protocollo SSL v2 e quindi potrebbero (se SmartScreen lo usasse) aumentare qualche falla nella sicurezza, oppure scelta strategica per avere in real time informazioni sul comportamento degli utenti del nuovo sistema operativo? Stando a un altro membro della comunità degli sviluppatori, Rafael Rivera, è impensabile che Microsoft abbia intrapreso una strada che la riporterebbe sul banco degli accusati davanti alle autorità.
L’allarmismo è quindi probabilmente eccessivo ma il sasso è stato lanciato. Fermo restando il fatto che Smartscreen non viene meno ai suoi compiti che sono quelli di controllare il pacchetto d'installazione inviando i feedback ottenuti agli ingegneri di Microsoft: se l'applicazione non è sicura (secondo i parametri dell'azienda) allora l'installazione è interrotta e l'utente riceve un messaggio di errore.
Disabilitare SmartScreen per eliminare il possibile problema alla radice, spiega Kobeissi, e complesso mentre è certo che il servizio identifica il codice hash dell'applicazione, e quindi in modo univoco il file d'installazione. Questa informazione, insieme all'indirizzo IP, potrebbe essere collegata a uno specifico account Microsoft (virtualmente obbligatorio per usare Windows 8) ed ecco che, potenzialmente, il colosso del software potrebbe sapere quali applicazioni ha installato ogni singolo utente del nuovo Os.
Cosa dicono sulla questione da Microsoft? Uno dei portavoce della compagnia ha spiegato come i dati raccolti siano necessari per gestire i servizi, come periodicamente il database viene cancellato come in nessuno modo le informazioni siano utilizzate per identificare gli utenti. Da Redmond garantiscono inoltre come SmartScreen non usi il protocollo SSL2.0 di default (omettendo di spiegarne la compatibilità) e come il servizio sia disattivabile tramite l'Action Center di Windows 8.