Szybko pojawiły się nieprzychylne opinie dotyczące tej zmiany. Posiadający złożoną historię (i koszmarny branding) Windows Defender wywodzi się wszak z programu Microsoft Antispyware i prowadzonej przez firmę w 2005 roku kampanii wymierzonej przeciwko oprogramowaniu szpiegowskiemu.
Szpiegujący antyszpieg?
Z takiej perspektywy Defender wydaje się "zdradzać ideały", na bazie których powstał. Jest to jednak niepotrzebnie romantyczne i pozbawione pragmatyzmu podejście. Zachowanie Defendera jest całkowicie uzasadnione, jeżeli weźmie się pod uwagę, przed czym tak naprawdę chroni definicja "SettingsModifier:Win32/HostsFileHijack".
Telemetria wysyła zbiór bardzo spersonalizowanych informacji, umożliwiających, w połączeniu z innymi danymi, na bardzo dokładne sprofilowanie użytkownika. Najwyższy tryb działania telemetrii Windows, stosowany obowiązkowo na przykład w programie Windows Insider, definiuje na przykład pola, z których pobierane są wszystkie naciśnięcia klawiszy, na przykład celem optymalizacji wyszukiwania.
Telemetria to dane wrażliwe!Zgromadzone i przesyłane dane da się przeglądać (!), a ich transmisja jest szyfrowana. Szyfrowanie da się jednak pokonać, instalując własne certyfikaty i/lub stosując sieciowy atak man-in-the-middle. W połączeniu ze zmianą adresata danych diagnostycznych, można prowadzić działania szpiegowskie stosując bardzo mało szpiegowskiego oprogramowania.
Defender nie chroni tu przed konkretnym atakiem, a raczej przed zachowaniem wskazującym na bycie częścią składową większego. To poprawne podejście. Nie należy opierać mechanizmów ochrony o przekonanie, że jest się atakowanym, tylko o podejrzenie, że dane zachowanie nie pasuje do wzorca.
Uzłośliwienie ruchu wykonywanego w ramach telemetrii, SQM oraz Aktualizacji Automatycznych daje teoretycznie możliwość całkowitego przejęcia maszyny i podsłuchania/kradzieży wszystkich danych. Choć takie ataki nie są dziś powszechne, nadwrażliwość Defendera jest wskazana. Wykryte zagrożenie da się też oczywiście dodać do wyjątków.