Você está visualizando atualmente Reassurances da Microsoft Não Convencem Pesquisadores de Segurança Sobre Tecnologia Problemática Para Usuários e Organizações

Reassurances da Microsoft Não Convencem Pesquisadores de Segurança Sobre Tecnologia Problemática Para Usuários e Organizações

Os planos da Microsoft de introduzir um recurso de “Recall” alimentado por inteligência artificial em sua linha de PCs Copilot+ têm suscitado consideráveis preocupações com a privacidade. No entanto, até que ponto essas preocupações são totalmente justificadas permanece em aberto no momento.

O Recall é uma tecnologia que a Microsoft descreve como permitindo aos usuários encontrar e lembrar facilmente o que eles possam ter visto em seu PC. Ele funciona tirando instantâneos periódicos da tela do usuário, analisando essas imagens e armazenando-as de uma maneira que permite ao usuário buscar coisas que possam ter visto em aplicativos, sites, documentos e imagens usando linguagem natural.

Segundo a Microsoft, com o Recall, é possível acessar virtualmente o que foi visto ou feito no PC de uma forma que parece ter memória fotográfica. Os PCs Copilot+ organizarão as informações com base em relacionamentos e associações únicas de cada usuário, de acordo com a empresa. Isso ajuda a lembrar coisas que o usuário possa ter esquecido, para que possam encontrar o que estão procurando de forma rápida e intuitiva, usando apenas as pistas que lembram.

As configurações padrão dos PCs Copilot+ virão com armazenamento suficiente para armazenar até três meses de instantâneos, com a opção de aumentar essa alocação.

Ao introduzir a tecnologia, a Microsoft apontou várias medidas que a empresa diz ter implementado para proteger a privacidade e segurança do usuário. O Recall armazenará todos os dados que captura apenas localmente no Copilot+ PC do usuário, de forma totalmente criptografada. Não salvará áudio ou vídeo contínuo, e os usuários terão a capacidade de desabilitar o recurso. Eles também podem pausá-lo temporariamente, filtrar aplicativos e sites que o usuário pode não querer salvar como instantâneos e excluir os dados do Recall a qualquer momento.

A Microsoft dará aos administradores corporativos a capacidade de desabilitar automaticamente o Recall por meio de políticas de grupo ou políticas de gerenciamento de dispositivos móveis. Isso garantirá que os usuários individuais em um ambiente corporativo não possam salvar capturas de tela e que todas as capturas de tela salvas no dispositivo de um usuário sejam excluídas, de acordo com a Microsoft.

“Você sempre está no controle com privacidade em que pode confiar”, afirmou a Microsoft.

Nenhum dado do Recall jamais será enviado de volta para a Microsoft, e nenhum dos dados acumulados será usado para fins de treinamento de IA, de acordo com a empresa.

Apesar dessas garantias, no entanto, pouco tem sido feito para acalmar a preocupação de diversas partes – incluindo entidades como o Information Commissioner’s Office (ICO) do Reino Unido – sobre os possíveis riscos de privacidade e segurança associados ao Recall. A própria admissão da empresa de que o Recall felizmente captura e salva capturas de tela de informações sensíveis, como senhas e números de contas financeiras, sem fazer nenhuma moderação de conteúdo, alimentou essas preocupações.

Pesquisador de segurança Kevin Beaumont aplicou os problemas em um post no blog esta semana que descreveu o Recall como um novo “pesadelo de segurança” para os usuários. Sua maior preocupação – que muitos outros também expressaram – é que o banco de dados do Recall na máquina de um usuário será uma mina de ouro de informações – incluindo senhas, informações de contas bancárias, números de Seguro Social e outras informações sensíveis – para os atacantes visarem.

“Com o Recall, como um hacker malicioso, você poderá acessar o banco de dados indexado facilmente e capturas de tela assim que acessar um sistema – incluindo [três] meses de histórico por padrão”, escreveu Beaumont. Os ladrões de informações terão acesso aos dados da área de transferência, bem como a tudo o mais que o usuário fez nos três meses anteriores. “Se você tiver malware em execução em seu PC por apenas alguns minutos, terá um grande problema em sua vida agora, em vez de apenas trocar algumas senhas”, afirmou.

Além do Recall ser um grande alvo para os atacantes, também há alguma preocupação sobre que tipo de acesso, se houver, a Microsoft terá a ele. As garantias da Microsoft de que o Recall permanecerá estritamente no dispositivo do usuário fizeram pouco para aliviar as preocupações. O ICO pediu mais transparência da Microsoft em relação ao Recall.

“A indústria deve considerar a proteção de dados desde o início e avaliar rigorosamente e mitigar os riscos aos direitos e liberdades das pessoas antes de lançar produtos no mercado”, disse o ICO em um pronunciamento.

Gal Ringel, cofundador e CEO da Mine, descreve o recurso de Recall como um atentado à privacidade do usuário e um ataque às melhores práticas de segurança e privacidade.

“Além de sua natureza particularmente invasiva, o fato de não haver restrições para censurar ou ocultar dados sensíveis, como números de cartão de crédito, informações de identificação pessoal ou segredos comerciais da empresa, é um grande erro de projeto do produto que apresenta riscos muito além dos cibercriminosos”, diz ele.

Como uma gigante de tecnologia, a Microsoft tem os recursos para processar e armazenar grandes quantidades de dados não estruturados de forma segura e eficiente que a maioria das empresas não possui, afirma Ringel.

“Recolher milhares – se não milhões – de capturas de tela que podem conter dados protegidos por várias regulamentações globais de privacidade de dados é como brincar com fogo”, observa ele, sugerindo que a Microsoft torne o recurso opcional em vez de habilitá-lo por padrão.

A funcionalidade contínua de captura de tela do Recall poderia potencialmente expor dados sensíveis se um dispositivo for comprometido, diz Stephen Kowski, CTO de campo da SlashNext. Embora a Microsoft tenha implementado criptografia e outras medidas de segurança para mitigar os riscos de acesso não autorizado aos dados do Recall armazenados localmente, as organizações devem considerar seus próprios perfis de risco ao usar a tecnologia, diz ele.

“A Microsoft está caminhando na direção certa com seus controles, como a capacidade de pausar o Recall, excluir certos aplicativos e usar criptografia, o que proporciona proteções importantes aos usuários”, afirma Kowski. “No entanto, para aprimorar ainda mais a privacidade, a Microsoft poderia considerar salvaguardas adicionais, como identificação automática e ocultação de dados sensíveis em capturas de tela, opções de exclusão mais granulares e fluxos claros de consentimento do usuário.”

Em um sentido, a funcionalidade do Recall não é muito diferente daquela oferecida pelas inúmeras ferramentas de comportamento de usuário e entidade (UEBA) que muitas organizações usam para monitorar ameaças de segurança nos endpoints. As ferramentas UEBA também podem capturar e potencialmente expor dados sensíveis sobre o usuário e seu comportamento.

O grande problema do Recall é que ele adiciona exposição adicional aos endpoints, diz Johannes Ullrich, decano de pesquisa do SANS Institute. A coleta de dados do UEBA é especificamente construída com a segurança em mente.

“Por outro lado, o Recall adiciona um ‘prêmio’ adicional que um atacante pode ganhar ao atacar o endpoint”, diz Ullrich. “Ele fornece um banco de dados de atividades passadas a que um atacante não teria acesso de outra forma.”

A Microsoft não respondeu especificamente a um pedido do Dark Reading para comentar sobre as crescentes preocupações com a privacidade. Um porta-voz preferiu apresentar o blog post da empresa sobre os mecanismos de privacidade e controle que a Microsoft disse ter implementado em torno da tecnologia.