Windows Media Player spioniert

Der Windows Media Player 8 [WMP] schreibt mit, welche DVDs sein Benutzer ansieht.

Wie der Computersicherheitsexperte Richard Smith in einem Posting auf der Mailing-Liste Bugtraq mitteilte, werden die Informationen direkt an eine Site von Microsoft weitergeleitet.

Smith ist den Sendetätigkeiten des Windows Media Player 8, den Windows XP mitbringt, auf den Grund gegangen.

Offline-Modus verhindert Abfrage
Solange der WMP im Offline-Modus betrieben wird, kann die Abfrage verhindert werden. Anwender können sich außerdem vor Microsofts Neugier schützen, indem sie dem Windows Media Player über das Menü "Extras/Optionen/Medienbibliothek" den Internet-Zugriff verbieten.

WMP 8 Privacy Problems

Abfrage an einen Microsoft-Server

Beim Einlegen einer DVD, hat Smith in seiner Analyse mittels Netzwerksniffer herausgefunden, schickt der Player zuerst über HTTP eine Abfrage an einen Microsoft-Server [windowsmedia.com], um von dort, wenn vorhanden, Titel und Kapitel-Informationen zum Film abzuholen.

Mit der Abfrage werde außerdem eine ID-Nummer des WMP aus einem Cookie verschickt, das der Player bei der ersten Benutzung mit einer Gültigkeit von 18 Monaten speichere. Damit halte Microsoft nun zwei Informationen in Händen, den Titel des Films und die ID des Media Players.

Obwohl die Informationen des Cookie keine persönlichen Daten enthalten, könnten die gewonnen Informationen zum Beispiel für direkte Marketing-Maßnahmen genutzt werden.

Der Media Player speichere außerdem die erhaltenen Informationen über den Film in einer Datenbank auf der Festplatte. Es bestehe keine einfache Methode, das Archiv auf der lokalen Festplatte wieder zu löschen.

Privacy-Policy inzwischen geändert
Der Softwarekonzern hat inzwischen nach Berichten von US-Medien reagiert und seine Privacy-Policy für den Media Player geändert. Allerdings gibt der Softwarekonzern keine Informationen dazu, was mit den Informationen geschieht. Zukünftige Versionen des Media Player sollen dennoch keine Informationen mehr zu Microsoft-Servern schicken, so der Hersteller.

MS Privacy Policy

MS plant [noch] keine Vermarktung der Daten

Schlimmer wird es nach Erkenntnissen von Smith, wenn man den Newsletter von Windows Media abonniert.

Dann werden nach seiner Analyse die Werte aus demselben Cookie herangezogen und mitsamt der angegebenen E-Mail-Adresse an den Windows-Media-Server geschickt.

Ab diesem Augenblick könnte Microsoft jede am PC abgespielte DVD dieser E-Mail-Adresse zuordnen.

Microsoft hat bis jetzt noch nicht begründet, warum Daten übertragen werden, mit denen man nach eigenen Beteuerungen nichts weiter anfängt.

Smith stellt außerdem die Frage, welcher Vorteil einem Benutzer entstehen soll, wenn der Media Player wegen des DVD-Titels den Microsoft-Server kontaktiert. Titel und Kapitelinformationen sind ohnehin auf der Scheibe gespeichert.

Neues MS-Sicherheits-Tool ab März
Als weiteren Schritt in der von Bill Gates angekündigten Sicherheitsoffensive arbeitet MS an einer neuen Security-Software. Das Gratis-Programm namens "Baseline Security Advisor" soll Windows-Computer nach Software ohne die aktuellen Patches, zu niedrig eingestellten Sicherheitseinstellungen, einfach zu erratenden Passwörter und anderen potenziellen Schwachstellen durchsuchen.

Microsoft arbeitet an Security-Scanner