Menü
Security

Geschwätzige WGA-Notification

Von
vorlesen Drucken Kommentare lesen 333 Beiträge

Wie angekündigt, hat Microsoft inzwischen die Windows-Genuine-Advantage-Notification aktualisiert. Mit dem Werkzeug will Microsoft Anwender zum Kauf von Original-Software "überreden", sollte die WGA-Prüfung auf einen als geklaut geltenden Windows-Aktivierungsschlüssel stoßen. Das Werkzeug telefoniert aber nach Redmond, selbst wenn Benutzer die Installation abbrechen.

Wenn man die WGA-Installation abbricht, versucht die Software, eine Verbindung ins Internet aufzubauen.

Neben der Windows-Update-Seite findet auch das automatische Windows-Update die neue Softwareversion und will sie installieren. Beim Einspielen fordert das Installationsprogramm vom Anwender erneut eine Zustimmung. Bricht man jedoch an dieser Stelle ab, schlägt so manche Desktop-Firewall Alarm: Ein Update-Programm versuche, sich ins Internet zu verbinden.

Ein Paket-Sniffer gibt detaillierte Auskunft: Die abgebrochene WGA-Notification-Installation versucht, Daten an Microsoft zu senden.

Der Netzwerkschnüffler Wireshark bringt Licht ins Dunkel: Wenn der Anwender die Software nicht installieren möchte, petzt das Update beim Server http://genuine.microsoft.com/. Der Benutzer bekommt davon auf einer Standard-Windows-Installation jedoch nichts mit.

Die übertragenen Daten sind zum Teil verschlüsselt, andere Werte finden sich in der Registry.

Neben einigen unverständlichen, scheinbar verschlüsselten Daten überträgt der WGA-Update-Installer dabei beispielsweise mit dem XML-Tag UGD den Wert, der in der Registry unter dem Windows-Update-Zweig als Zeichenkette für SusClientID hinterlegt ist. Zusätzlich enthalten die Daten Informationen über die Version des WGA-Notification-Tools und von Windows sowie über die Sprache des Betriebssystems. Außerdem findet die Kontaktierung des Servers mit einem Cookie statt, das auch eine GUID enthält. Möglicherweise lässt sich hierüber ein Rechner eindeutig identifizieren.

Microsoft äußerte auf Anfrage von heise Security, dass das Unternehmen die Daten lediglich sammle, um die Qualität der WGA für den Anwender zu verbessern. Dazu übertrage man etwa, an welcher Stelle die Benutzer das Setup abgebrochen haben. Um verlässlich zu zählen, nutze man die GUID, ohne jedoch dabei den Benutzer zu identifizieren. Weitere Daten, die nach Redmond übertragen werden, enthielten Informationen über die vom Benutzer eingestellte sowie die Sprache der Windows-Installation und ob die Maschine in einer Domäne angemeldet sei.

Warum das Setup den Benutzer nicht auf den Datenversand hinweist und keine Einwilligung bei ihm einholt, erklärt Microsoft nicht. Ob es eine aktualisierte Fassung des Updates geben wird, die nicht ohne Rückfrage Daten an Microsoft versendet, bleibt ebenso unklar. Wer sich vor dem unverlangten Datenversand schützen möchte, kann beispielsweise zu einer anwendungsbasierten Personal Firewall greifen, die den Kontaktversuch erkennt und blockiert.

Zur Vista-Aktivierung und zur WGA-Echtheitsüberprüfung siehe auch: