Microsoft 可以通过 Windows 设备 ID 跟踪用户
Microsoft 跟踪范围与 GDID
- 评论者推断,Microsoft 可以将 Windows 的 “GDID” 与 IP、时间戳,以及至少域名、甚至可能是访问过的完整 URL 关联起来。
- 线程中引用的刑事指控被用作证据,说明 Microsoft 将 URL、IP 和 GDID 作为“遥测”记录下来。
- 一些参与者强调,这实际上摧毁了 Windows 用户的隐私,因为活动可以被追溯地关联到某一台特定设备。
数据如何被收集(机制不明)
- 多种理论:
- Edge + Microsoft Defender SmartScreen 将访问过的 URL/域名发送出去进行钓鱼/恶意软件检查,并与 GDID,甚至可能与 Microsoft 账户关联。
- Windows 遥测将页面标题、导航跳转和点击链接打包进诊断事件(线程中提到了一些安全演讲的幻灯片)。
- 与许可相关的日志或其他 Windows 服务(Update、Defender、MAPS)。
- 也有人认为,Microsoft 不太可能在 OS 层面记录 所有 Web 请求,或者这么做不可能一直没被发现。
- 从浏览行为到 GDID 关联的具体技术路径在文中被反复描述为不清楚,而且文章也缺少这一部分。
浏览器与应用的角色
- 一些评论者认为,这主要涉及默认隐私/遥测设置下的 Edge。
- 也有人指出,Chrome 和其他浏览器也有向厂商发送 URL 的选项(例如用于“安全浏览”),但本线程中没有确凿证据表明非 Microsoft 浏览器会输入基于 GDID 的跟踪链路。
与其他平台和标识符的比较
- 许多人指出,Linux 上也存在持久设备 ID(systemd
machine-id、D-Bus UUID 等),BSD(hw.uuid、hostid)、Android 等亦然。 - 这里强调的关键区别是:本地机器 ID vs. 厂商运营的基础设施将这些 ID 与网络活动进行关联。
- 提到的缓解措施包括:轮换或随机化 machine-id、沙箱化(例如 bubblewrap、firejail)、避免某些浏览器。
法律、隐私与政策反应
- 围绕 GDPR 的争论:有人说随机 ID 不是个人数据;也有人反驳说,如果它能单独识别用户或与账户关联,那就是个人数据。
- 许多人将此视为再次证明,大科技公司并不真正尊重隐私,而且与执法部门就此类遥测数据合作是常态。
- 强烈主张远离 Windows(转向 Linux、BSD、Apple、注重隐私的工具),并对 VPN 营销持怀疑态度,因为它无法防范非 IP 层面的跟踪。