Yönetişim ve Risk Yönetimi, Gizlilik
K ICO, Microsoft Ekran Görüntüsü Depolama Özelliğine Yönelik Probe’u Duyurdu
Akşaya Asokan (asokan_akshaya) •
22 Mayıs 2024
Güvenlik uzmanları, Microsoft’un yeni otomatik ekran görüntüsü alma özelliğinin bilgisayar korsanlarının çevrimiçi bankacılık kimlik bilgileri gibi hassas bilgileri çalmasına olanak verebileceği konusunda uyardı. Ek olarak, Birleşik Krallık veri düzenleyicisi Recall’ın gizlilik yasasına uygunluğu konusunda soruşturma yapacak.
Ayrıca bakınız: Meta Veri Darboğazlarından İsteğe Bağlı İçgörülere
Pazartesi günü açıklanan Recall, Microsoft’un yapay zeka sistemi Copilot+’a ve Windows cihazlarına eklenecek bir önizleme özelliğidir. Şirket, aracın Windows’un uygulamalardan, web sitelerinden, resimlerden ve belgelerden veri bulmak için periyodik olarak kullanıcı ekranının anlık görüntülerini almasına izin vererek kullanıcılarına “fotoğrafik” bellek sağlayacağını iddia ediyor.
Şirkete göre bu özellik, yaklaşık 25 gigabayt veri depolayabiliyor; bu da bir kullanıcının etkinliklerinin üç aya kadar ekran görüntülerine tekabül ediyor. Görüntüler, kullanıcıların geçmiş etkinliklerini belirlemek amacıyla belirli içerikleri aramalarına yardımcı olmak için yapay zeka araçlarıyla birleştirilecek.
Microsoft CEO’su Satya Nadella, Wall Street Journal ile yaptığı röportajda “Bu, anahtar kelime araması değil, tüm arama geçmişinizin anlamsal aramasıdır. Esasen geçmişteki anları yeniden yaratabiliriz” dedi.
Microsoft, olası gizlilik endişelerini gidermek için ekran görüntülerini yerel olarak kullanıcının sisteminde depolayacağını söyledi. Ayrıca kullanıcıların özelliği devre dışı bırakmasına veya geçici olarak duraklatmasına da olanak tanıyacak. Microsoft, Recall’ın ses kaydedemeyeceğini veya video kaydedemeyeceğini ekledi.
Bazı güvenlik uzmanları, bu önlemlerin Recall kullanıcılarının güvenliğini sağlamak için yeterli olmadığını söylüyor. Bir şirket sözcüsü, Recall’ın gizliliğini ve güvenliğini tartışan bir web sayfasına yorum talebinde bulundu.
Copilot arayüzünü de analiz eden güvenlik araştırmacısı Kevin Beaumont, PowerShell kullanarak uygulama özelliği içinde “anlık görüntüleri kaydetme” özelliğini etkinleştirebileceğini söyledi. Recall’ın kullanıcının sistemindeki şifreleri gizlemediğinden bunun, kullanıcı bir bankacılık uygulamasına eriştiğinde bankacılık kimlik bilgilerinin alınıp cihazda saklanacağı anlamına geldiğini ekledi.
Beaumont, “Bilgi hırsızı kötü amaçlı yazılımların (PC’lere gizlice giren kötü amaçlı yazılımlar) tarihsel olarak neler olduğuna bakarsanız, yerel olarak depolanan tarayıcı şifrelerini otomatik olarak çalmak üzere döndüğünü” söyledi. “Başka bir deyişle, kötü niyetli bir tehdit aktörü bir sisteme erişim kazanırsa, zaten yerel olarak depolanan önemli veritabanlarını çalmış demektir.”
Recall’ı içeren olası bir güvenlik olayının ölçeği “muazzam” olabilir, çünkü bilgisayar korsanları Windows sistemlerinde bilgi hırsızlığı yapan Truva atlarını kullanarak milyarlarca kişinin kimlik bilgilerine sızabilir.
Tarayıcı üreticisi Mozilla’nın baş ürün sorumlusu Steve Teixeira, bir e-postada Recall’ın, kullanıcıların tarayıcılara yazdığı verileri “depolananlar üzerinde yalnızca çok kaba bir kontrolle” depolayacağını söyledi.
“Veriler şifrelenmiş biçimde saklanırken, bu depolanan veriler siber suçlular için yeni bir saldırı vektörünü ve paylaşılan bilgisayarlar için yeni bir gizlilik endişesini temsil ediyor” dedi. Ayrıca Microsoft’u, Firefox tarayıcısı gibi üçüncü taraf yazılımların zararına yine şirket içi ürünleri tercih etmekle suçladı. Microsoft’un Edge tarayıcısı “kullanıcıların belirli web sitelerinin ve özel tarama etkinliklerinin Recall tarafından görülmesini engellemesine olanak tanıyor.” Diğer Chromium tabanlı tarayıcıların bazı etkinlikleri filtreleyebildiğini ancak finansal siteler gibi hassas web sitelerini Recall’dan engelleyemediğini söyledi. Ancak Chromium’u temel almayan bir tarayıcının (Firefox gibi) Recall üzerinde gizlilik denetimleri uygulamasına yönelik hiçbir belge yoktur.
Güvenlik firması Acumen’in COO’su ve kurucu ortağı Kevin Robertson, Recall’ı “casus yazılım” olarak nitelendirdi ve Microsoft’un güvenlik kaygılarına rağmen muhtemelen uygulamaya devam edeceğini ekledi.
“Microsoft yıkılamayacak kadar büyük ve çok güçlü. Sadece isteğe bağlı olduğunu söyleyecekler ve yine de uygulanacak. Çoğu kullanıcı, etkisini fark etmeden onu açacak ya da varsayılan olarak açık olacak. Bu, Robertson, Information Security Media Group’a pek çok düzeyde istismara uğradığını söyledi.
Microsoft, şirketlerin kişisel verilerin kaydedilmesinin gerekliliğini ve orantılılığını değerlendirmesini zorunlu kılan Genel Veri Koruma Yönetmeliği nedeniyle Avrupa’da mevzuat açısından olumsuzluklarla da karşılaşabilir. Ancak Microsoft böyle bir değerlendirme yapsa bile şirketin bunu yayınlama zorunluluğu yok.
Birleşik Krallık Bilgi Komisyonu Ofisi Çarşamba günü yaptığı açıklamada, ajansın Recall’ın güvenlik önlemlerini belirlemek için Microsoft ile soruşturma yaptığını söyledi. Ajansın duyurusu, düzenleyicinin yapay zeka geliştiricilerini ürünlerini piyasaya sürmeden önce gizlilik risklerini değerlendirmeye çağırmasından bir gün sonra geldi.