近日,一个重大的隐私泄露问题被发现,Microsoft 的 Edge 浏览器可能会将用户访问的 URL 发送到其 Bing API 网站。最初这个问题由 Reddit 用户首先发现了,彼时,他们注意到最新版本的 Microsoft Edge 向必应(bingapis.com)发送了一个请求,其中包含用户导航到的几乎每个页面的完整 URL。
泄漏 URL 其实根本与更新的功能无关
在发现的第一时间,这位名叫 hackermchackface 的用户便将其公开,并发出了这样的疑问:是什么导致 Edge 在更新后泄露所有访问过的 URL?
经过搜索发现,对该 URL 引用得到的结果少之又少,根本没有关于此功能的介绍文档,也就是说泄漏 URL 其实根本与更新的功能无关!并且也有网友发现 bingapis.com 是 Microsoft 拥有的域名,也向 Any Run (恶意软件分析服务网站)报告过该站点,但他们始终无法确定微软为什么要开放如此恶劣的侵入性功能。
默认启用的创作者关注功能,
目的似乎是在你访问某些页面时通知必应
为此,据外媒The Verge 报道,他们联系了 Stardock 软件工程师 Rafael Rivera 进行调查,他发现这是 Edge 中的新功能实现不到位导致的。微软公关总监凯特琳·鲁尔斯顿 (Caitlin Roulston) 回应:“我们注意到了报告,正在调查此事并将采取适当行动解决任何问题。” 也就是表明,微软还没有解释为什么将你几乎访问的所有网站发送到必应。
Microsoft Edge 现在具有默认启用的创作者关注功能,这一功能的目的似乎是在你访问某些页面时通知必应,例如 YouTube、The Verge和 Reddit。但它似乎没有正常工作,而是将你访问的几乎每个域都发送给必应。
微软去年最先在 Edge 中测试这个新的创作者关注功能,最近几个月开始广泛地进行宣传,让用户在 YouTube 和网络上关注您最喜爱的内容创作者,如果禁用该功能,则不再将 URL 发送到必应。
Microsoft Edge 的关注创作者功能 图片源于Reddit(https://www.reddit.com/r/MicrosoftEdge/comments/rz71jh/edge_canary_now_lets_you_follow_some_of_your/)
建议关闭 Microsoft Edge 中的“关注创作者”功能
隐私泄露问题是存在并且严重的。
微软有一个用于创作者关注功能的主过滤器(https://www.bingapis.com/api/v7/followweb/getdomainfilter?appId=F1E45C4A7B95B48AC3F411C6214F6B861D0C276B)其中包括像色情或者暴力的域,URL 可能被阻止发送到 Bing API 站点。但是当用户默认启用关注的功能时,对于用户访问的每个以前未检查的 URL,它都会将其传递给必应,这对隐私有很大的影响。
在微软完成调查并可能修复此问题之前,强烈建议所有使用者关闭 Microsoft Edge 中的“关注创作者”功能。你可能永远不知道它的存在,也永远不会使用它,因此关闭也不会错过任何消息。要在 Edge 中执行此操作,请导航至“设置”,选择“隐私”、“搜索”和“服务”选项,然后向下滚动至“服务”。在 Microsoft Edge中关闭“Show suggestions to follow creators”旁边的开关,这样就大概率不会泄漏你的隐私。
参考链接:https://www.theverge.com/2023/4/25/23697532/microsoft-edge-browser-url-leak-bing-privacy