Microsoft obiecywał wszystkim, że ich sztandarowa funkcja Recall będzie bezpieczne i nie zapisze wrażliwych danych. Rzeczywistość okazała się być zupełnie inna, a klienci mają poważnych powód do oburzenia.
Reklama
Nowa funkcja Recall, będąca jednym z głównych punktów sprzedażowych komputerów Copilot+ PC od Microsoftu, miała zrewolucjonizować sposób przeszukiwania historii aktywności użytkownika. Zamiast szukać plików czy przeglądać historię przeglądarki, Recall umożliwia przeszukiwanie całej aktywności w systemie Windows za pomocą naturalnego języka, dzięki zrzutom ekranu wykonywanym przez AI w tle. Problem w tym, że funkcja ta nadal łamie podstawowe zasady bezpieczeństwa i prywatności.
To cię zainteresuje Microsoft odkrywa karty. To dlatego masz problemy z WindowsemWindows 11 może zmienić się nie do poznania
Reklama
Recall zapisuje wrażliwe dane, a miał tego nie robić
Recall to rozwiązanie stworzone z myślą o komputerach wyposażonych w specjalny procesor NPU, odpowiadający za przetwarzanie zadań związanych ze sztuczną inteligencją. Funkcja robi automatyczne zrzuty ekranu z niemal każdej aktywności użytkownika. Mowa tu o takich działaniach jak odwiedzane strony, otwierane dokumenty czy rozmowy, by później umożliwić ich przeszukiwanie. Już w momencie zapowiedzi funkcja wzbudziła kontrowersje, a eksperci podnosili alarm, że zbieranie tak ogromnej ilości danych może prowadzić do nadużyć.
Microsoft zareagował na krytykę i przesunął premierę funkcji, by wprowadzić dodatkowe zabezpieczenia. Jednym z nich miał być domyślnie włączony filtr blokujący rejestrowanie danych wrażliwych, takich jak numery kart kredytowych, hasła czy dane logowania. Jednak jak wynika z najnowszego śledztwa dziennikarzy The Register, zabezpieczenie to działa co najwyżej połowicznie.
Na potrzeby testu wykorzystano laptopa Lenovo Yoga Slim 7x z włączoną funkcją Recall. Jak się okazało, filtr opiera się jedynie na analizie słów kluczowych oraz wzorców tekstowych. Gdy na stronie internetowej pojawia się słowo „checkout” lub „payment”, Recall nie zapisuje numerów kart. Ale jeśli te słowa zostaną usunięte lub ukryte, numer karty zostaje zarejestrowany bez żadnej cenzury. Podobnie jest z hasłami czy numerami ubezpieczenia społecznego – jeśli system nie rozpozna kontekstu (np. brak słowa „password” czy „SS”), dane są przechwytywane.
Czytaj dalej poniżej
Jeszcze bardziej niepokojące jest to, że zapisane zrzuty ekranu z Recall można odczytać z poziomu konta użytkownika po wpisaniu samego kodu PIN – a więc znacznie słabszego zabezpieczenia niż np. pełne hasło czy uwierzytelnianie dwuetapowe.
Grafika: depositphotos.com
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
Reklama
