Você está visualizando atualmente Despeito Das Reafirmações Da Microsoft, Múltiplos Pesquisadores de Segurança Descrevem a Tecnologia Como Problemática Para os Usuários e Suas Organizações

Despeito Das Reafirmações Da Microsoft, Múltiplos Pesquisadores de Segurança Descrevem a Tecnologia Como Problemática Para os Usuários e Suas Organizações

Os planos da Microsoft de introduzir um recurso de “Recall” alimentado por inteligência artificial em sua linha de PCs Copilot+ têm provocado consideráveis preocupações com a privacidade. Mas, até que ponto essas preocupações são totalmente justificadas ainda é uma questão em aberto no momento.

O Recall é uma tecnologia que a Microsoft descreve como permitindo aos usuários encontrar e lembrar facilmente o que eles podem ter visto em seus PCs. Funciona tirando capturas periódicas da tela do usuário, analisando essas imagens e armazenando-as de uma forma que permite ao usuário pesquisar coisas que podem ter visto em aplicativos, sites, documentos e imagens usando linguagem natural.

Segundo a Microsoft, com o Recall, é possível acessar virtualmente o que você viu ou fez em seu PC de uma maneira que parece ter memória fotográfica. Os PCs Copilot+ organizarão informações com base em relacionamentos e associações únicos de cada usuário, de acordo com a empresa. “Isso ajuda a lembrar coisas que você possa ter esquecido, para que você possa encontrar o que procura rapidamente e de forma intuitiva, usando apenas as pistas que você se lembra.”

As configurações padrão dos PCs Copilot+ virão com espaço de armazenamento suficiente para armazenar até três meses de capturas, com a opção de aumentar essa alocação.

Ao introduzir a tecnologia, a Microsoft destacou várias medidas que a empresa diz ter implementado para proteger a privacidade e a segurança do usuário. O Recall armazenará todos os dados que captura localmente apenas no PC Copilot+ do usuário, de forma totalmente criptografada. Não salvará áudio ou vídeo contínuo, e os usuários terão a capacidade de desativar o recurso. Eles também podem pausá-lo temporariamente, filtrar aplicativos e sites que não desejam que sejam salvos como capturas e excluir os dados do Recall a qualquer momento.

A Microsoft dará aos administradores empresariais a capacidade de desativar automaticamente o Recall por meio de políticas de grupo ou de gerenciamento de dispositivos móveis. Isso garantirá que usuários individuais em um ambiente empresarial não possam salvar capturas de tela e que todas as capturas salvas no dispositivo de um usuário sejam excluídas, de acordo com a Microsoft.

“Você está sempre no controle, com privacidade em que pode confiar”, disse a Microsoft.

Nenhum dado do Recall jamais voltará para a Microsoft, e nenhum dos dados acumulados será usado para fins de treinamento de IA, de acordo com a empresa.

Essas garantias, no entanto, fizeram pouco para acalmar uma enxurrada de preocupações de várias partes – incluindo entidades como o Information Commissioner’s Office (ICO) do Reino Unido – sobre os potenciais riscos de privacidade e segurança associados ao Recall. A própria admissão da empresa de que o Recall felizmente capturará e salvará capturas de tela de informações sensíveis, como senhas e números de contas financeiras, sem fazer qualquer moderação de conteúdo, alimentou essas preocupações.

O pesquisador de segurança Kevin Beaumont resumiu as questões em um post em seu blog nesta semana que descreve o Recall como um novo “pesadelo de segurança” para os usuários. Sua maior preocupação – que muitas outras pessoas também expressaram – é que o banco de dados de Recall em um dispositivo do usuário será uma mina de ouro de informações – incluindo senhas, informações de conta bancária, números de Previdência Social e outras informações sensíveis – para os atacantes visarem.

“Com o Recall, como hacker malicioso, você poderá acessar o banco de dados convenientemente indexado e capturas de tela assim que acessar um sistema – incluindo [três] meses de histórico por padrão,” escreveu Beaumont. Roubadores de informações terão acesso aos dados na área de transferência, assim como tudo o mais que um usuário fez nos três meses anteriores. “Se você tiver malware em execução em seu PC por apenas alguns minutos, você terá um grande problema em sua vida agora, em vez de apenas mudar algumas senhas”, afirmou.

Além do Recall ser um grande alvo para atacantes, também há alguma preocupação sobre que tipo de acesso, se houver, a Microsoft terá a ele. As garantias da Microsoft de que o Recall permanecerá estritamente no dispositivo de um usuário fizeram pouco para aliviar as preocupações. O ICO solicitou mais transparência da Microsoft em relação ao Recall.

“A indústria deve considerar a proteção de dados desde o início e avaliar rigorosamente e mitigar os riscos para os direitos e liberdades das pessoas antes de lançar produtos no mercado,” disse o ICO em um comunicado.

Gal Ringel, cofundador e CEO da Mine, descreve o Recall como um ataque à privacidade do usuário e uma agressão às melhores práticas de segurança e privacidade. “Além de sua natureza particularmente invasiva, o fato de que não há restrições para censurar ou ocultar dados sensíveis, como números de cartão de crédito, informações de identificação pessoal ou segredos comerciais da empresa, é uma grande falha no design do produto que apresenta riscos muito além dos cibercriminosos”, diz.

Como gigante da tecnologia, a Microsoft tem os recursos para processar e armazenar grandes quantidades de dados não estruturados com segurança e eficiência, o que a maioria das empresas não possui, acrescenta Ringel. “Coletar milhares – se não milhões – de capturas de tela que podem conter dados protegidos por várias regulamentações globais de privacidade de dados é como brincar com fogo,” ele observa, sugerindo que a Microsoft torne o recurso opcional em vez de ativá-lo por padrão.

A funcionalidade contínua de captura de tela do Recall poderia potencialmente expor dados sensíveis se um dispositivo for comprometido, diz Stephen Kowski, CTO de campo do SlashNext. Mesmo que a Microsoft tenha incorporado criptografia e outras medidas de segurança para mitigar os riscos de acesso não autorizado aos dados do Recall armazenados localmente, as organizações devem considerar seus próprios perfis de risco ao usar a tecnologia, diz ele.

“A Microsoft está seguindo na direção certa com seus controles, como a capacidade de pausar o Recall, excluir certos aplicativos e usar criptografia, o que oferece proteções importantes aos usuários”, diz Kowski. “No entanto, para aumentar ainda mais a privacidade, a Microsoft poderia considerar salvaguardas adicionais, como identificação automática e ocultação de dados sensíveis em capturas de tela, opções de exclusão mais granulares e fluxos de consentimento claros para o usuário.”

Em um sentido, a funcionalidade do Recall não é muito diferente da oferecida pelas inúmeras ferramentas de monitoramento de ameaças de segurança em terminais (UEBA) que muitas organizações usam para monitorar ameaças de segurança. As ferramentas de UEBA também podem capturar e potencialmente expor dados sensíveis sobre o usuário e seu comportamento.

O grande problema do Recall é que ele adiciona exposição adicional aos terminais, diz Johannes Ullrich, decano de pesquisa do SANS Institute. A coleta de dados da UEBA é especificamente projetada com a segurança em mente.

“O Recall, por outro lado, adiciona um ‘prêmio’ adicional que um atacante pode ganhar ao atacar o terminal”, diz Ullrich. “Ele fornece um banco de dados de atividades passadas a que um atacante, de outra forma, não teria acesso.”

A Microsoft não respondeu especificamente a um pedido da Dark Reading para comentar sobre as crescentes preocupações com a privacidade. Um porta-voz, em vez disso, apontou para a postagem do blog da empresa sobre os mecanismos de privacidade e controle que a Microsoft disse ter implementado em torno da tecnologia.