Os planos da Microsoft de introduzir uma funcionalidade de “Recall”, alimentada por inteligência artificial em sua linha de computadores Copilot+, têm suscitado consideráveis preocupações com a privacidade. No entanto, o quanto essas preocupações são totalmente justificadas permanece uma questão em aberto no momento.
O Recall é uma tecnologia que a Microsoft descreve como permitindo aos usuários encontrar e lembrar facilmente o que quer que tenham visto em seus PCs. Ele funciona tirando instantâneos periódicos da tela do usuário, analisando essas imagens e armazenando-as de forma que o usuário possa procurar coisas que possam ter visto em aplicativos, sites, documentos e imagens usando linguagem natural.
Como a Microsoft explica, “Com o Recall, você pode acessar virtualmente o que viu ou fez em seu PC de uma maneira que parece ter memória fotográfica.” Os PCs Copilot+ vão organizar as informações com base em relacionamentos e associações únicos de cada usuário, de acordo com a empresa. “Isso ajuda você a lembrar de coisas que pode ter esquecido, para que possa encontrar o que procura rapidamente e de forma intuitiva, simplesmente usando as pistas que se recorda.”
As configurações padrão dos PCs Copilot+ virão com armazenamento suficiente para armazenar até três meses de instantâneos, com a opção de aumentar essa alocação.
Ao introduzir a tecnologia, a Microsoft apontou para várias medidas que a empresa diz ter implementado para proteger a privacidade e a segurança dos usuários. O Recall armazenará todos os dados que captura localmente no PC do usuário Copilot+ de forma totalmente criptografada. Não salvará áudio ou vídeo contínuo, e os usuários terão a capacidade de desativar a funcionalidade. Eles também podem pausá-la temporariamente, filtrar aplicativos e sites que um usuário talvez não queira salvar como instantâneos e excluir os dados do Recall a qualquer momento.
A Microsoft dará aos administradores empresariais a capacidade de desativar automaticamente o Recall por meio de políticas de grupo ou políticas de gerenciamento de dispositivos móveis. Isso garantirá que os usuários individuais em um ambiente empresarial não possam salvar capturas de tela e que todas as capturas de tela salvas no dispositivo de um usuário sejam excluídas, de acordo com a Microsoft.
“Você está sempre no controle com privacidade em que pode confiar,” disse a Microsoft.
Nenhum dado do Recall nunca voltará para a Microsoft, e nenhum dos dados acumulados será usado para fins de treinamento de IA, de acordo com a empresa.
Apesar dessas garantias, as preocupações continuam sobre o Recall, que pode capturar e salvar capturas de tela de informações sensíveis, como senhas e números de contas financeiras, sem fazer qualquer moderação de conteúdo. Isso alimenta preocupações sobre os riscos de privacidade e segurança potenciais associados ao Recall.
Como um grande gigante da tecnologia, a Microsoft tem recursos para processar e armazenar grande quantidade de dados não estruturados de forma segura e eficiente, ao contrário da maioria das empresas. Coletar milhares – se não milhões – de capturas de tela que podem conter dados protegidos por várias regulamentações globais de privacidade de dados é como brincar com fogo, diz Ringel, sugerindo que a Microsoft torne a funcionalidade opcional em vez de ativá-la por padrão.
A funcionalidade de captura contínua de capturas de tela do Recall poderia potencialmente expor dados sensíveis se um dispositivo for comprometido, diz Kowski. Embora a Microsoft tenha incorporado criptografia e outras medidas de segurança para mitigar os riscos de acesso não autorizado aos dados do Recall armazenados localmente, as organizações devem considerar seus próprios perfis de risco ao usar a tecnologia.
Em um sentido, a funcionalidade do Recall não é muito diferente da oferecida pelas inúmeras ferramentas de monitoramento de ameaças de segurança de usuário e entidade (UEBA) que muitas organizações usam para monitorar ameaças de segurança em endpoints. As ferramentas UEBA também podem capturar e potencialmente expor dados sensíveis sobre o usuário e seu comportamento.
O grande problema com o Recall é que ele adiciona exposição adicional aos endpoints, diz Ullrich. A coleta de dados do UEBA é especificamente construída com a segurança em mente.
“A combinação, por outro lado, adiciona um ‘prêmio’ adicional que um atacante pode obter ao atacar o endpoint,” Ullrich diz.
A Microsoft não respondeu especificamente a um pedido do Dark Reading para comentar sobre as crescentes preocupações de privacidade. Um porta-voz apontou para o blog da empresa sobre os mecanismos de privacidade e controle que a Microsoft disse ter implementado em torno da tecnologia.
