Již dříve jsme informovali o nové funkci Microsoft Recall poháněné umělou inteligencí pro Windows 11 běžící na počítačích Copilot+PC, která nepřetržitě pořizuje snímky obrazovky vašich aktivit.
Když byl na konferenci Build oznámen upgrade s umělou inteligencí, vyskytly se určité bezpečnostní obavy. Zatímco Microsoft řešil výhrady ochrany soukromí prostřednictvím zajištění šifrování, bezpečnostní výzkumník nyní poukázal na některé vážné problémy s funkcí Windows AI a nenazval to nic menšího než bezpečnostní „katastrofa“.
Microsoft zajistil šifrovaný Recall zážitek, ale expert na kybernetickou bezpečnost Kevin Beaumont toto tvrzení zpochybnil. Při testování funkce Beaumont zjistil některé bezpečnostní chyby, protože data jsou uložena v prostém textu. Vyjádřil své hluboké obavy, že tato špatně provedená funkce způsobí vážné poškození image značky a zákazníků.
Podle výzkumníka jsou uživatelská data uložena v prostém textu v databázi SQLite, kde jsou uloženy všechny záznamy toho, co bylo zhlédnuto na PC. Protože jsou data uložena v uživatelské složce, mohou k nim přistupovat potenciální hackeři, kteří mohou napadnout počítače pomocí malwaru. Varoval uživatele, že s touto funkcí by měli očekávat, že kyberzločinci budou mít větší pravomoci a že dojde k nějakému vážnému „ super narušení s umělou inteligencí“ .
Zatímco Microsoft tvrdí, že k datům nemůže vzdáleně přistupovat žádný hacker, protože jsou uložena lokálně na zařízení a jsou šifrována, Beaumont tento postoj zpochybnil. Uvádí, že k databázi lze přistupovat, i když nejste správcem, a lze ji vzdáleně exfiltrovat prostřednictvím souborů AppData. Aby se ujistil, že jeho prohlášení je pravdivé, výzkumník exfiltroval data o předběžně vydané funkci a poté vytvořil webovou stránku, na kterou nahrál databázi, kde testoval, zda lze v souborech něco vyhledávat.
Beaumont si záměrně vyhradil technické podrobnosti o automatizovaném procesu infiltrace v databázi Recall. Řekl, že informace zatím záměrně nesděluje, protože čeká na reakci Microsoftu na situaci. Navrhuje, že je nejlepší prozatím pozastavit zavádění funkce kvůli potenciálním bezpečnostním problémům, které tato funkce může způsobit.
Společnost Microsoft dosud nereagovala na přetrvávající obavy týkající se bezpečnosti a ochrany osobních údajů, ale Recall je volitelná funkce, kterou lze zakázat, pokud se uživatelé necítí pohodlně ji používat. Mezitím Copilot+PC s funkcí Recall založenou na AI má být spuštěn 18. června.