#行业资讯 微软使用 GDID 设备标识符帮助执法机构追踪黑客,除非重装系统否则 GDID 就不会改变,而微软可以通过 GDID 持续追踪用户网络活动。7 月 1 日 19 岁的黑客彼得斯托克斯被从芬兰引渡到美国受审,美国司法部公开的文件显示,微软的 GDID 帮助执法机构识别黑客。微软通过 GDID 可以关联到:精确的网页浏览活动与时间戳、IP 地址历史、整体互联网使用模式,目前 GDID 问题已经引起安全社区的广泛关注。查看全文:https://ourl.co/113792
2026 年 7 月 1 日,美国司法部与美国联邦调查局宣布 19 岁的美国 / 爱沙尼亚籍黑客彼得斯托克斯已经从芬兰引渡到美国,将在芝加哥联邦法院受审。斯托克斯被指控参与臭名昭著的黑客集团「散乱蜘蛛」并参与多起网络攻击,斯托克斯在 4 月 10 日准备从芬兰赫尔辛基机场前往日本时被逮捕,当时美国已经发出国际通缉令。
微软通过 GDID 标识符帮助执法机构识别黑客:
目前在安全社区的讨论中,大家对微软使用 GDID 标识符帮助执法机构识别黑客的讨论热度最高,在美国司法部公布的文件里明确提到微软使用 GDID 持久化 Windows 设备标识符识别黑客,GDID 指的是微软全局设备标识符,这是 Windows 系统在安装时生成的唯一标识符,除非彻底擦除并重装系统,否则标识符将保持不变。
GDID 可以通过遥测系统和 Azure 监控日志系统上报设备活动,具体来说微软可能可以根据 GDID 关联到标识符下的:精确网页浏览活动与时间戳、IP 地址历史 (即便使用 VPN 也可以继续)、整体互联网使用模式。(注意:此内容目前存在争议,因为还无法确定微软到底能收集哪些数据)
早在 2022 年微软就已经识别到斯托克斯,GDID 将同一台 Windows 设备在爱沙尼亚、纽约、泰国等多地的活动与犯罪时间线精确匹配,即便黑客在入侵期间使用 VPN 或移动到其他地方,设备指纹仍然可以精确识别并持续跟踪。到 2024 年 10 月微软可以精确识别斯托克斯,至此归因彻底完成。
微软在公开的 MSDN 文档中极少提及 GDID 标识符,这个标识符主要为微软内部使用,这也体现 Windows 生态中设备级遥测的强大归因能力,所以关注网络安全的社交账号 vx-underground 表示是 Windows 出卖了斯托克斯。
此案件接下来可能会引起社区对 GDID 的大范围讨论:
很多专业用户甚至网络安全研究领域的人士此前都不知道 GDID 标识符的存在,更不知道微软竟然可以通过 GDID 对特定 Windows 设备进行持久化跟踪。彼得斯托克斯案可能是首次大规模公开 Windows 设备级遥测能力在真实执法场景中的强大能力,这既是归因技术的胜利,也是一面镜子 --- 这提醒我们在享受数字化便利的同时,设备指纹和数据收集边界正在被重新定义。
值得注意的是在社区讨论中还有关注安全的社交账号称微软还会通过 TPM 可信平台芯片进行追踪,这意味着即便用户完全擦除硬盘和重装系统,只要没有更换 TPM 芯片也依然会被追踪,因此无论用户使用 VPN 还是 Tor 都无济于事,至少对于微软来说想要追踪应该还是可以实现的。不过关于基于 TPM 的追踪目前没有公开文档确认。
