Microsoft 可以通过 Windows 设备 ID 跟踪用户

Microsoft 跟踪范围与 GDID

  • 评论者推断,Microsoft 可以将 Windows 的 “GDID” 与 IP、时间戳,以及至少域名、甚至可能是访问过的完整 URL 关联起来。
  • 线程中引用的刑事指控被用作证据,说明 Microsoft 将 URL、IP 和 GDID 作为“遥测”记录下来。
  • 一些参与者强调,这实际上摧毁了 Windows 用户的隐私,因为活动可以被追溯地关联到某一台特定设备。

数据如何被收集(机制不明)

  • 多种理论:
    • Edge + Microsoft Defender SmartScreen 将访问过的 URL/域名发送出去进行钓鱼/恶意软件检查,并与 GDID,甚至可能与 Microsoft 账户关联。
    • Windows 遥测将页面标题、导航跳转和点击链接打包进诊断事件(线程中提到了一些安全演讲的幻灯片)。
    • 与许可相关的日志或其他 Windows 服务(Update、Defender、MAPS)。
  • 也有人认为,Microsoft 不太可能在 OS 层面记录 所有 Web 请求,或者这么做不可能一直没被发现。
  • 从浏览行为到 GDID 关联的具体技术路径在文中被反复描述为不清楚,而且文章也缺少这一部分。

浏览器与应用的角色

  • 一些评论者认为,这主要涉及默认隐私/遥测设置下的 Edge。
  • 也有人指出,Chrome 和其他浏览器也有向厂商发送 URL 的选项(例如用于“安全浏览”),但本线程中没有确凿证据表明非 Microsoft 浏览器会输入基于 GDID 的跟踪链路。

与其他平台和标识符的比较

  • 许多人指出,Linux 上也存在持久设备 ID(systemd machine-id、D-Bus UUID 等),BSD(hw.uuid、hostid)、Android 等亦然。
  • 这里强调的关键区别是:本地机器 ID vs. 厂商运营的基础设施将这些 ID 与网络活动进行关联。
  • 提到的缓解措施包括:轮换或随机化 machine-id、沙箱化(例如 bubblewrap、firejail)、避免某些浏览器。

法律、隐私与政策反应

  • 围绕 GDPR 的争论:有人说随机 ID 不是个人数据;也有人反驳说,如果它能单独识别用户或与账户关联,那就是个人数据。
  • 许多人将此视为再次证明,大科技公司并不真正尊重隐私,而且与执法部门就此类遥测数据合作是常态。
  • 强烈主张远离 Windows(转向 Linux、BSD、Apple、注重隐私的工具),并对 VPN 营销持怀疑态度,因为它无法防范非 IP 层面的跟踪。