Hagenah, bir saldırganın hedefi hakkında, e-postalarına, kişisel konuşmalarına ve Recall tarafından yakalanan her türlü hassas bilgiye ilişkin bilgiler de dahil olmak üzere büyük miktarda bilgi alabileceğini söylüyor.
Hagenah’ın çalışması, Recall’ın ne kadar bilgi yakaladığını ve bu bilgileri çıkarmanın ne kadar kolay olabileceğini ayrıntılı olarak açıklayan siber güvenlik araştırmacısı Kevin Beaumont’un bulgularına dayanıyor. Beaumont ayrıca Recall veritabanının yüklenebileceği ve anında aranabileceği bir web sitesi kurduğunu da söylüyor. Microsoft’a sistemi potansiyel olarak değiştirmesi için zaman tanımak amacıyla siteyi henüz yayınlamadığını söylüyor. Beaumont, “Kullanıcı adlarını ve şifreleri otomatik olarak çalan InfoStealer truva atları, on yılı aşkın süredir büyük bir sorundur; artık bunlar Recall’ı destekleyecek şekilde kolayca değiştirilebilir” diye yazıyor.
Eleştiriler, Microsoft sistemlerine yönelik saldırıların ABD hükümetinin çeşitli veri ihlallerine yol açması nedeniyle geliyor; Nadella, güvenliğin Microsoft’un “bir numaralı önceliği” olması gerektiğini söyledi. Microsoft, yayınlandığı tarihte WIRED’in Recall’ın güvenlik özellikleri hakkındaki yorum talebine yanıt vermedi.
Recall’ın gizlilik sayfaları, ekran görüntülerinin kaydedilmesini devre dışı bırakmanın (etkili bir şekilde Recall’ı kapatma), sistemi geçici olarak duraklatmanın, ekran görüntülerinin alındığı uygulamaları filtrelemenin ve toplananları herhangi bir zamanda silmenin mümkün olduğunu söylüyor. Geri çağırma, dizüstü bilgisayarın kendisinde çalışır, yakaladığı verileri cihazda depolar ve bu bilgileri Microsoft’un sunucularına göndermez. Hagenah, bu iddianın doğru göründüğünü ve verilerin Microsoft’a gönderildiğine dair hiçbir işaret olmadığını söylüyor.
Microsoft, en azından Recall’ın gizlilik ve güvenlikle ilgili bazı olası sorunlarından haberdar: Microsoft’un yardım sayfalarında, sistemin kaydettiği görsellerin içeriği üzerinde herhangi bir içerik denetimi yapmadığı belirtiliyor. Bu, Microsoft’un kılavuzda “şifreler veya finansal hesap numaraları gibi bilgileri gizlemeyeceği” anlamına geldiğini söylüyor. Güvenlik araştırmacıları zaten Recall’dan şifreleri çıkarmayı başardılar.
Recall’ın ana veri tabanı dizüstü bilgisayarın sistem dizininde depolanıyor ve erişim için yönetici haklarına ihtiyaç duysa da ayrıcalık yükseltme saldırıları yıllardır yapılıyor ve bu da bir saldırganın bir cihaza uzaktan ilk erişim elde etmesini teorik olarak mümkün kılıyor.
Hagenah, işverenlerin “kendi cihazlarını getir” politikasına sahip olması durumunda, birisinin dizüstü bilgisayarlarında kayıtlı büyük miktarda şirket verisiyle ayrılma riskinin bulunduğunu söylüyor. Hoşnutsuz olmaları veya kötü şartlarda ayrılmaları durumunda bunun özellikle risk oluşturduğunu söylüyor. Birleşik Krallık’ın veri koruma düzenleyicisi Bilgi Komiserliği Ofisi, Microsoft’tan Geri Çağırma ve gizliliği hakkında daha fazla ayrıntı sağlamasını istedi.
Recall bir “önizleme” özelliği olarak kalmaya devam etse ve Microsoft’un küçük yazılarına göre piyasaya sürülmeden önce değişebilecek olsa da Beaumont, araştırmasında şirketin “Recall’ı geri çağırması ve hak ettiği özellik olması için belirli bir tarihte teslim edilmesi için yeniden çalışması gerektiğini” yazıyor. sonraki tarih.” Şöyle ekliyor: “Bu tür şeylerin olmaması gerektiğinden, bu duruma yol açan iç karar alma mekanizmalarını da gözden geçirmeleri gerekiyor.”