Windows GDID 變數碼指紋:Scattered Spider 案點解值得睇
3C 產品

Windows GDID 變數碼指紋:Scattered Spider 案點解值得睇

圖片:via Tom's Hardware — https://www.tomshardware.com/tech-industry/cyber-security/arrest-and-extradition-of-scattered-spider-hacker-shines-light-on-how-windows-telemetry-gdids-can-identify-users-microsoft-device-identifier-is-just-one-digital-fingerprint-in-a-software-world-rife-with-them
TechLab 編輯部(譯)·

法院文件講到,一個 Windows 安裝 ID 可以串起 IP、帳戶同網址紀錄

件事唔止係黑客新聞

美國 DOJ 7 月 1 日公開 Peter Stokes 案,話呢名 19 歲美國、愛沙尼亞雙重公民涉嫌同 Scattered Spider 入侵公司系統有關,喺芬蘭俾捕後再俾引渡到芝加哥。指控仍然要經法庭證明;不過 Tom's Hardware 7 月 8 日再拎件事出嚟講,原因係投訴書入面一段 Microsoft records:FBI 靠 Windows 嘅 GDID,串起一個 ngrok 註冊、VPN IP、帳戶登入同部分網址紀錄。

GDID 其實係咩

法院文件引用 Microsoft 代表講法,GDID 係 Windows 生態入面一個 persistent device-level identifier,用嚟辨認某部實體機、手提電腦、手機或者 VM 入面嘅 Windows 安裝。重點係:更新 Windows 唔會換,重裝 Windows 先會換;同一個 Microsoft user 亦可以有多個 GDID。換句話講,佢唔似 cookie 咁跟瀏覽器,亦唔單純跟 IP;佢跟住 Windows installation 走,時間一長就可以做穩定錨點。

安全研究員 SmtimesIWndr 喺 GitHub 反查後認為,網上流傳「128-bit、由硬件 serial 生成」講法唔準;佢嘅測試指向 Microsoft Account / Connected Devices Platform 入面一個 64-bit device PUID。不過呢部分係研究員重現同靜態分析,法院文件本身冇直接講晒呢條生成鏈,所以要分開睇:法院確認 GDID 用法,研究員補咗背後機制推論。

網址紀錄點樣入咗圖

投訴書確認嘅事其實好具體:同一個 GDID 喺 2025 年 5 月 12 日 UTC 19:21 左右開過 ngrok signup page,之後仲有公司 F 網站;另有 Empire Hotel 網址、Growtopia 登入 URL,同 Facebook、Snapchat、Apple 帳戶嘅 IP 活動重疊。文件冇講明係 SmartScreen、Edge optional diagnostics、Defender,定其他 Microsoft records 觸發上傳,所以唔應該寫死單一路徑。

Tom's Hardware 判斷 Stokes 部機好可能開咗 Optional / Full telemetry,呢個係基於 Microsoft 公開文件同案中 URL 類型得出嘅推論。Microsoft 官方講得幾清楚:Required / Basic 主要係有限度嘅裝置資料、設定同錯誤狀態;Optional / Full 就闊好多,包 app 活動、Microsoft browser 瀏覽歷史同搜尋字眼,Edge optional diagnostic data 仲可以包括 URL、頁面 title、載入指標同導覽資料。

Optional 同 Required 差好遠

SmartScreen 又係另一層。Microsoft Defender SmartScreen 為咗做 reputation check,會向 Microsoft 送出 URL 或下載檔案資料;Edge 文件亦寫明 SmartScreen 預設開啟,用嚟擋 phishing、malware 同可疑下載。呢個功能同 diagnostic telemetry 唔完全同一回事。你可以關 Optional diagnostics 減少瀏覽資料收集,但一刀切關 SmartScreen 會少咗一層安全防護,尤其係家用機同公司機成日收到釣魚連結嘅環境。

普通 Windows Home / Pro 用戶喺設定入面通常見到嘅選擇係 Required 同 Optional;Microsoft Learn 寫明 Diagnostic data off / Security 主要留畀 Windows Enterprise、Education 同 Server 管理場景。即係話,你可以關 Optional、tailored experiences、typing / inking 改善,但唔等於 Windows 完全冇診斷資料出街。呢度要分清楚:減少 telemetry,同關安全防護,唔係同一個決定。

重點係透明度

Windows diagnostics 唔係完全冇用。大規模 OS 要靠 crash report、driver 狀態、更新失敗資料去修 bug,企業 endpoint team 都靠呢啲訊號捉異常。不過 Stokes 案提醒咗一件事:當一個長期 ID 同 URL、IP、帳戶活動放埋一齊,「診斷資料」喺用戶眼中就唔再只係 crash log。Microsoft 可以話資料用作安全同產品改善,但設定頁如果冇清楚講到網址同 persistent identifier 會點樣碰埋,信任自然會跌。

普通用戶可以即刻睇嘅設定

Windows 11 可以去 Settings > Privacy & security > Diagnostics & feedback,先確認 Send optional diagnostic data 係 Off,再睇 Tailored experiences、Improve inking and typing 同 Feedback frequency。Microsoft 亦有 Diagnostic Data Viewer,可以開一陣睇事件內容同匯出,但官方都提醒開咗 data viewing 會喺本機留紀錄,用完要關返。Edge 方面,可以喺 Privacy, search, and services 檢查 optional diagnostic data 同 Microsoft Defender SmartScreen;一般用戶可以保留 SmartScreen,但關掉 Optional diagnostics,除非用緊 Insider build 或公司政策要求開啟。

公司 IT 要睇多一層

公司機同學校機麻煩啲,因為使用者未必有權改,資料亦可能入咗 Microsoft、Entra tenant、Defender for Endpoint 或其他管理平台。IT admin 唔好淨係套一個 hardening script 就算,要喺 Group Policy / Intune 清楚定 Allow diagnostic data、Limit dump collection、Limit diagnostic log collection,Edge SmartScreen 俾唔俾 user bypass warning,仲要寫入內部私隱告知。工作機長期登入私人帳戶,本身就係資料邊界模糊嘅源頭。

呢單案暫時仍係投訴書階段,下一步要睇法庭文件會唔會再交代 Microsoft records 嚟自邊條 pipeline,亦要睇 Microsoft 會唔會公開解釋 GDID 同 Optional diagnostics 嘅界線。對一般人嚟講,最實際係開機後唔好一路 Next 到底:Optional telemetry、Edge diagnostics、tailored experiences 要自己睇一次;對公司嚟講,工作裝置要有清楚 policy,唔好等出事先問資料到底去咗邊。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook