Microsoft sta per lanciare una nuova funzione chiamata Recall che sarà integrata nei PC Copilot Plus ormai prossimi all'arrivo fissato per il 18 giugno. Questo strumento alimentato dall'intelligenza artificiale (IA), crea screenshot di tutto ciò che viene fatto sul PC. Recall consente agli utenti di cercare e recuperare qualsiasi informazione in pochi secondi, attraverso una timeline esplorabile. La funzione è stata progettata per lavorare in locale, senza inviare dati ai server di Microsoft per il training dei modelli di IA.
Nonostante le assicurazioni di Microsoft riguardo alla sicurezza e alla crittografia dei dati, l'esperto di cybersecurity Kevin Beaumont ha individuato alcune potenziali falle. Beaumont, che ha lavorato brevemente per Microsoft nel 2020, ha testato Recall per una settimana, scoprendo che i dati vengono memorizzati in un database in testo non criptato. Questa vulnerabilità potrebbe facilitare il compito degli hacker che utilizzano malware per estrarre il database e il suo contenuto.
"Ogni pochi secondi vengono presi degli screenshot. Questi vengono automaticamente riconosciuti tramite OCR (riconoscimento ottico dei caratteri) da Azure AI, in esecuzione sul dispositivo, e scritti in un database SQLite nella cartella dell'utente," spiega Beaumont nel suo blog dettagliato. "Questo file di database contiene un record di tutto ciò che è stato visualizzato sul PC in testo non criptato."
Beaumont ha condiviso un esempio di questo database in chiaro ricordando a Microsoft che, contrariamente a quanto dichiarato ai media, un hacker potrebbe esfiltrare queste informazioni da remoto. Sebbene il database sia memorizzato localmente su un PC, è accessibile dalla cartella AppData se si dispone dei privilegi di amministratore. Due ingegneri di Microsoft hanno recentemente dimostrato questo aspetto durante l'evento Build, e Beaumont sostiene che il database sia accessibile anche senza i privilegi di amministratore.
"Recall permette ai malintenzionati di automatizzare lo scraping di tutto ciò che è stato visualizzato sul PC in pochi secondi" ... "Sto deliberatamente trattenendo i dettagli tecnici fino a quando Microsoft lancerà ufficialmente la funzione, per dare loro il tempo di fare qualcosa"
Al momento, Microsoft prevede di abilitare Recall per impostazione predefinita sui PC Copilot Plus. Nei test con la versione preliminare di Recall, la funzione è attivata di default durante il processo di configurazione di un nuovo PC Copilot Plus, e non c'è la possibilità di disabilitarla a meno che non venga selezionata un'opzione che apre il pannello Impostazioni. Microsoft sta valutando se modificare o meno questo processo di configurazione, secondo quanto riportato.
L'azienda afferma che Recall sia un'esperienza opzionale e che siano stati integrati dei controlli per la privacy. È possibile disabilitare determinati URL e app, e Recall non memorizza materiale protetto da strumenti di gestione dei diritti digitali.
"Recall non cattura neanche schermate di sessioni di navigazione InPrivate in Microsoft Edge, Firefox, Opera, Google Chrome o altri browser basati su Chromium," afferma Microsoft nella pagina FAQ.
Tuttavia, Recall non effettua una moderazione dei contenuti, quindi non nasconde informazioni come password o numeri di conto bancario nelle sue schermate.
"Questi dati possono essere presenti negli snapshot memorizzati sul dispositivo, specialmente quando i siti non seguono i protocolli standard di internet come la mascheratura dell'inserimento delle password"
Microsoft sostiene inoltre che:
"Gli snapshot di Recall vengono conservati sui PC Copilot Plus, sul disco rigido locale, e sono protetti tramite crittografia dei dati sul dispositivo e (se si dispone di Windows 11 Pro o di una versione aziendale di Windows 11) tramite BitLocker”
Come spiega Beaumont, la crittografia del disco è utile solo in determinati scenari:
"Quando si accede al PC e si esegue software, le cose vengono decriptate per noi," ... "La crittografia dei dati a riposo aiuta solo se qualcuno viene fisicamente a rubare il laptop — questo non è il modus operandi dei criminali informatici."
Alla luce di quanto emerso finora, Microsoft potrebbe trovarsi costretta a riprogettare Recall, o addirittura di ritirarla. È evidente la presenza di falle nel modo in cui i dati vengono memorizzati, e la scelta di rendere questa funzione opt-out ha preoccupato i sostenitori della privacy. Il lancio di Recall giunge appena poche settimane dopo che il CEO di Microsoft, Satya Nadella, ha esortato i dipendenti a fare della sicurezza la "massima priorità" dell'azienda, anche a discapito dell'introduzione di nuove funzionalità.