Windows-Update unter der Lupe

Grundlegende Beobachtungen

Die Windows-Update-Site besteht aus ein paar HTML-Seiten mit viel Javascript-Code und einer zentralen COM-Komponente. Diese Bausteine werden beim Aufruf der Windows-Update-URL auf den Rechner des Benutzers übertragen. Die Hauptaufgabe des Javascript-Codes ist die Interaktion mit dem Benutzer. Das ist einfach herauszufinden, da der Sourcecode im Klartext vorliegt und ohne Probleme separat heruntergeladen werden kann. Erheblich interessanter ist die in der COM-Komponente versteckte Funktionalität.

Wenn der Benutzer sich die Liste der verfügbaren Updates anzeigen lässt, fließen nicht nur Daten vom Update-Server auf den Rechner des Benutzers - es werden auch einige Kilobyte in die andere Richtung übertragen. Und das sind die potenziell interessanten Informationen, die allerdings über eine SSL-verschlüsselte Verbindung gesendet werden. Aus diesem Grund lassen sie sich nicht per Netzwerk-Sniffer überprüfen. Es gilt also, sich in den Datenstrom einzuklinken, bevor er verschlüsselt wird.