Novas versões do Windows Update enviam um significativo montante de dados para o servidor de atualizações da Microsoft. Infelizmente, o conteúdo exato transmitido — por meio de uma conexão encriptada em SSL (Secure Sockets Layer) — e sua relevância para a privacidade do usuário não foram revelados, até o momento.

O Windows Update consiste em algumas páginas HTML com uma grande quantidade de códigos embutidos em Java Script e um componente chamado COM. Estes "blocos"são baixados quando o usuário abre a página do Windows Update (http://v4.windowsupdate.microsoft.com/default.asp) no Internet Explorer.

A principal tarefa do código em Java Script — que é fácil de analisar já que o código-fonte do Java pode ser examinado — é interagir com o usuário. A funcionalidade mais interessante, no entanto, esconde-se no componente COM.

Utilizando uma ferramenta chamada tecDump é possível saber que o Windows Update usa solicitações POST para transmitir mensagens em SOAP (Simple Object Access Protocol) para o servidor da Microsoft. O SOAP é o protocolo-padrão no qual se baseia a linguagem XML (eXtesible Markup Language) para comunicações em serviços Web — bloco elementar de desenvolvimento da plataforma .Net, da Microsoft.

O fator mais preocupante em relação à privacidade envolve a capacidade de listagem de componentes da máquina do usuário pelo Windows Uptade. Esta lista transferida ao servidor da Microsoft pode revelar o fabricante e o modelo de todos os cartões PCI instalados no computador, bem como de dispositivos de armazenamento e componentes de hardware.

A abordagem de versões mais antigas do Windows Update era fazer o download de uma lista completa de atualizações e então filtrar os dados relevantes no computador do usuário — isso sem transferir qualquer informação significativa à Microsoft.

O problema não se aplica apenas às atualizações de drivers. O sistema de filtragem de servidores também poderia determinar quais softwares estão instalados na máquina do usuário.

Imagine que a Microsoft pode saber se você usa um browser Mozilla 1.0, criar uma categoria de produto chamada mo10, adicionar uma regra para determinar se o Mozilla 1.0 está instalado e depois retornar esta categoria de produto quando o Windows Uptade enviar uma solicitação ao servidor da Microsoft.

Categorias de produtos mais recentes também poderiam ser utilizadas para motivos mais nobres, tornando tecnicamente simples a abertura do Windows Update para outros fornecedores de software, contando com a habilidade do componente COM para listar os fornecedores de todos os pacotes de software instalados nas máquinas dos usuários. A prática não é utilizada, atualmente, mas pode tornar-se um grande problema de privacidade no futuro.