Microsoft, yeni “Geri Çağırma” yapay zeka özelliğiyle ilgili geniş çapta duyurulan endişeleri gidermek için yeni güvenlik önlemleri ekliyor. Ancak bazıları hâlâ şirketin yeterince ileri gittiğine ikna olmadı.
Microsoft’un, günlük olarak kullanılan Copilot+ bilgisayarlarının ekran görüntülerini periyodik olarak alacak, saklayacak ve analiz edecek, yapay zeka (AI) odaklı yeni bir program olan Recall’ı başlatmasının üzerinden yalnızca sekiz gün geçti. Geri çağırmanın bir tür hafıza bankası gibi davranarak kullanıcıların yakın zamanda karşılaştıkları uygulamaları, web sitelerini, görselleri ve belgeleri anında bulmalarına ve bunlara referans vermelerine olanak sağlaması bekleniyor.
Başlangıçtan itibaren Recall potansiyel bir potansiyel olarak eleştirildi. kişisel veri hırsızlığında altın madeni. Gürültü o kadar yüksekti ki Cuma günü Microsoft şunu duyurdu: üç yeni güvenlik odaklı güncelleme onun için:
-
Başlangıçtaki duruşunun tersine çevrilmesiyle Microsoft, artık Geri Çağırma’yı varsayılan olarak kapalı olarak gönderecek.
-
Kullanıcıların kaydolması gerekecek Windows Merhaba bunu etkinleştirmek için ve birincil özelliklerini kullanmak için sözde “varlık kanıtı” gerekli olacaktır.
-
Geri çağırma verileri şifrelenecek ve yalnızca kullanıcı Windows Hello aracılığıyla kimlik doğrulaması yaptığında şifresi çözülecek ve erişilebilecek.
Her ne kadar doğru yönde atılmış bir adımı temsil etseler de uzmanlar, bu değişikliklerin kullanıcıların en hassas şifrelerini, fotoğraflarını, kişisel kimlik bilgilerini (PII) ve finansal bilgilerini bilgisayar korsanlarından korumak için yeterli olacağı konusunda şüpheci.
Geri Çağırma Riskleri: Bir Vaka Çalışması
Recall duyurulduğunda pek çok güvenlik uzmanı korkuya kapıldı, ancak Devolutions’ın CTO’su Marc-André Moreau’dan çok azı korkuya kapıldı. Windows’un en yeni oyuncağının kaçınılmaz olarak şirketinin uzak bağlantıları yönetmeye yönelik yazılımındaki görünür parolaları yakalayıp saklayacağından endişeliydi. Bu tür şifreler ellerindeyken, bilgisayar korsanları herhangi bir kurbanın bilgisayarına kolayca bağlanabilecek ve bunları yönetebilecektir.
“Geri Çağırma’nın nasıl çalıştığına ilişkin belgelere baktığımızda,” diye anımsıyor, “tam anlamıyla hassas bilgileri, kimlik bilgilerini veya PII’yi (çıkarılmasını isteyeceğiniz her şeyi) kaldırmak için bir çaba sarf etmeyeceğini, yalnızca yerel dosyalarda tutacağını söylüyordu” “
Görünüşe göre Microsoft’un mantığı, Recall ekran görüntülerinin yalnızca kullanıcının makinesinde saklanması nedeniyle uzaktan erişime karşı güvende kalacaklarıydı. Moreau, “Microsoft, işlemin yerel olarak yapılmasını mümkün kılan yeni bir çipe sahip ve veriler buluta yüklenmediği için herkesin sorun olmayacağını düşündüler” diye açıklıyor. “Fakat dosyalar yerel olarak depolandığı için makinenize bir keylogger yüklemezsiniz. Dosyalar kötü amaçlı yazılımlar tarafından ele geçirilebilir. Peki neden Geri Çağırma’yı etkinleştiresiniz ki?”
Bu noktayı göstermek için basit bir kırmızı takım egzersizi yaptı. Onun anlatımında, “Fazla bir şey yapmam gerekmedi. Sadece bir ortam kurdum, birisinin çevrimiçi yaptığı bir aracı kullanarak onu zorla yükledim ve sonra yükledim [Devolutions’] Uzak Masaüstü Yöneticisi. ‘Şifreyi görüntüle’ye, ardından ‘kaydet’e tıkladım ve ardından veritabanını buldum. Açtım ve çıkarılan şifreyi, şifreyi içeren ekran görüntüsünün yanında görebiliyordum.”
Burada, bir test Azure VM’sinde Uzak Masaüstü Yöneticisi’nden geçici olarak görünür parolaların yakalanmasını hatırlayın. Düşündüğümden daha az etkili, arama sonuçları ekran görüntüleri ve maç için kullanılan OCR metninin tamamının nasıl elde edilebileceği belli değil pic.twitter.com/RUiLs57bKz
— Marc-André Moreau (@awakecoding) 3 Haziran 2024
Diğer araştırmacılar da bunun basit yollarını bulmuşlardır. Geri çağırma ekran görüntülerinde hassas verilere erişme. Biri zaten bir geliştirip yayınladı açık kaynak aracı işi hızlandırmaya yardımcı olmak için.
Moreau, müşterilerini korumaya çalışmak için daha sonra şirketinin yazılımını varsayılan olarak Recall’ın dışında bırakmanın bir yolunu aradı. Yetersiz geldi.
Microsoft’un Yeni Güncellemeleri Yeterli mi?
Microsoft’un Geri Çağırma’yı varsayılan olarak kapatması sayesinde kullanıcılar artık veri gizlilikleri üzerinde daha fazla kontrole sahip olacak.
Ancak Moreau, Windows Hello’nun yalnızca birkaç gün uzaktaki önizleme sürümünü geciktirmeden Recall’a tamamen ve düzgün bir şekilde entegre edilebileceğinden şüpheleniyor. “Ben yazılım işindeyim, işler o kadar hızlı olmuyor” diyor.
Dark Reading, Windows Hello ve Recall’ın 18 Haziran’da nasıl evlenebileceği konusunda yorum yapmak için Microsoft’a ulaştı.
Satya Nadella’nın bir mektup yayınlamasının üzerinden henüz bir ay geçmeden “güvenliği her şeyden önce önceliklendirmekBazı eleştirmenlere göre Recall, pazara hızla sunulan diğer yapay zeka ürünlerini hatırlatıyor.
İronik bir şekilde, yapay zeka bu programların en acil güvenlik kusurlarını pekâlâ çözebilir. Moreau, “Bugün ChatGPT’ye bir Geri Çağırma ekran görüntüsü yükleyebilirim ve ona hassas görünen verileri tanımlamasını söyleyebilirim, o da bunu yapabilecektir” diye belirtiyor. “Bunu çözmeye yardımcı olmak için AI çiplerini kullanabilirlerdi [data leakage] ama denemediler bile. Göndermek için çok istekliydiler.”