Você está visualizando atualmente Despeito Das Reafirmações Da Microsoft, Múltiplos Pesquisadores De Segurança Descrevem A Tecnologia Como Problemática Para Usuários E Suas Organizações

Despeito Das Reafirmações Da Microsoft, Múltiplos Pesquisadores De Segurança Descrevem A Tecnologia Como Problemática Para Usuários E Suas Organizações

Os planos da Microsoft de introduzir um recurso de “Recall” alimentado por inteligência artificial em sua linha de PCs Copilot+ têm levantado consideráveis preocupações com a privacidade. Mas até que ponto essas preocupações são inteiramente justificadas permanece uma questão em aberto no momento.

“Recall” é uma tecnologia que a Microsoft descreve como possibilitando aos usuários encontrar e lembrar facilmente o que possam ter visto em seu PC. Funciona tirando capturas de tela periódicas da tela do usuário, analisando essas imagens e armazenando-as de uma maneira que permite ao usuário buscar coisas que possam ter visto em aplicativos, sites, documentos e imagens usando linguagem natural.

Conforme a Microsoft explica, “Com o Recall, você pode acessar virtualmente o que viu ou fez em seu PC de uma maneira que se assemelha a ter uma memória fotográfica”.

Os PCs Copilot+ organizarão informações com base em relacionamentos e associações únicos de cada usuário, de acordo com a empresa. “Isso ajuda a lembrar coisas que você pode ter esquecido, para que você possa encontrar o que está procurando de forma rápida e intuitiva simplesmente usando as pistas que você se lembra.”

As configurações padrão dos PCs Copilot+ virão com armazenamento suficiente para armazenar até três meses de capturas de tela, com a opção de aumentar essa alocação.

Ao introduzir a tecnologia, a Microsoft apontou várias medidas que a empresa diz ter implementado para proteger a privacidade e a segurança do usuário. O Recall armazenará todos os dados que captura apenas localmente no PC Copilot+ do usuário de forma totalmente criptografada. Não salvará áudio ou vídeo contínuo, e os usuários terão a capacidade de desativar o recurso. Eles também podem pausá-lo temporariamente, filtrar aplicativos e sites que o usuário talvez não queira salvar como capturas de tela e excluir os dados do Recall a qualquer momento.

A Microsoft dará aos administradores corporativos a capacidade de desativar automaticamente o Recall por meio de políticas de grupo ou políticas de gerenciamento de dispositivos móveis. Isso garantirá que os usuários individuais em um ambiente corporativo não possam salvar capturas de tela e que todas as capturas de tela salvas no dispositivo de um usuário sejam excluídas, de acordo com a Microsoft.

“Você sempre está no controle com privacidade em que pode confiar”, disse a Microsoft.

Nenhum dado do Recall jamais será enviado de volta à Microsoft, e nenhum dos dados acumulados será usado para fins de treinamento de IA, de acordo com a empresa.

Tais garantias, no entanto, têm feito pouco para acalmar uma onda de preocupação de várias partes – incluindo entidades como o Information Commissioner’s Office (ICO) do Reino Unido – sobre os potenciais riscos à privacidade e à segurança associados ao Recall. A própria admissão da empresa de que o Recall felicita capturas de tela de informações sensíveis, como senhas e números de contas financeiras, sem fazer nenhuma moderação de conteúdo alimentou essas preocupações.

O pesquisador de segurança Kevin Beaumont encapsulou as questões em um post de blog esta semana que descrevia o Recall como um novo “pesadelo de segurança” para os usuários. Sua maior preocupação – que muitos outros expressaram também – é que o banco de dados do Recall em um dispositivo de um usuário será uma mina de informações – incluindo senhas, informações de contas bancárias, números de Seguro Social e outras informações sensíveis – para os atacantes visarem.

“Com o Recall, como um hacker mal-intencionado, você poderá acessar o banco de dados facilmente indexado e capturas de tela assim que acessar um sistema – incluindo 3 meses de histórico por padrão”, escreveu Beaumont. Os ladrões de informações terão acesso aos dados na área de transferência, bem como a tudo mais que um usuário fez nos três meses anteriores. “Se você tiver malware em execução em seu PC por apenas alguns minutos, terá um grande problema em sua vida agora, em vez de apenas alterar algumas senhas”, ele afirmou.

Além do Recall ser um grande alvo para atacantes, também há alguma preocupação sobre que tipo de acesso, se houver, a Microsoft terá a ele. As garantias da Microsoft de que o Recall permanecerá estritamente no dispositivo do usuário fizeram pouco para aliviar as preocupações. O ICO pediu mais transparência da Microsoft em relação ao Recall.

“A indústria deve considerar a proteção de dados desde o início e avaliar e mitigar rigorosamente os riscos aos direitos e liberdades das pessoas antes de levar produtos ao mercado”, disse o ICO em um comunicado.

Gal Ringel, co-fundador e CEO da Mine, descreve o recurso Recall como um ultraje à privacidade do usuário e um ataque às melhores práticas tanto de segurança quanto de privacidade.

“Além de sua natureza especialmente invasiva, o fato de não haver restrições para censurar ou ocultar dados sensíveis, como números de cartão de crédito, informações pessoalmente identificáveis ou segredos comerciais da empresa, é uma grande falha no design do produto que apresenta riscos muito além dos cibercriminosos”, diz ele.

Como uma gigante da tecnologia, a Microsoft tem os recursos para processar e armazenar com segurança e eficiência grandes quantidades de dados não estruturados que a maioria das empresas não possui, observa Ringel.

“Coletar milhares – se não milhões – de capturas de tela que podem conter dados protegidos por várias regulamentações globais de privacidade de dados é como brincar com fogo”, diz ele, sugerindo que a Microsoft torne o recurso opcional em vez de habilitá-lo por padrão.

A funcionalidade contínua de captura de tela do Recall poderia potencialmente expor dados sensíveis se um dispositivo for comprometido, diz Stephen Kowski, CTO de campo da SlashNext. Embora a Microsoft tenha incorporado criptografia e outras medidas de segurança para mitigar os riscos de acesso não autorizado aos dados do Recall armazenados localmente, as organizações devem considerar seus próprios perfis de risco ao usar a tecnologia, diz ele.

“A Microsoft está indo na direção certa com seus controles, como a capacidade de pausar o Recall, excluir determinados aplicativos e usar criptografia, o que fornece proteções importantes aos usuários”, diz Kowski. “No entanto, para aprimorar ainda mais a privacidade, a Microsoft poderia considerar salvaguardas adicionais, como a identificação automática e remoção de dados sensíveis em capturas de tela, opções de exclusão mais granulares e fluxos claros de consentimento do usuário.”

De certa forma, a funcionalidade do Recall não é muito diferente da oferecida pelas inúmeras ferramentas de monitoramento de ameaças de segurança de endpoint de usuário e entidade (UEBA) que muitas organizações usam. As ferramentas de UEBA também podem capturar e potencialmente expor dados sensíveis do usuário e seu comportamento.

O grande problema do Recall é que ele adiciona exposição adicional aos endpoints, diz Johannes Ullrich, diretor de pesquisa do SANS Institute. A coleta de dados da UEBA é especificamente desenvolvida com a segurança em mente.

“O Recall, por outro lado, oferece um ‘prêmio’ adicional que um atacante pode ganhar ao atacar o endpoint”, diz Ullrich. “Ele fornece um banco de dados de atividades passadas a que um atacante de outra forma não teria acesso.”

A Microsoft não respondeu especificamente a um pedido do Dark Reading sobre as crescentes preocupações com a privacidade. Um porta-voz apontou para o post no blog sobre os mecanismos de privacidade e controle que a Microsoft disse ter implementado em torno da tecnologia.