Copilot+ bilgisayarları için planlanan Recall adlı yeni Microsoft Windows özelliği, siber güvenlik araştırmacıları ve gizlilik savunucuları tarafından güvenlik ve gizlilik kabusu olarak adlandırıldı.
Yardımcı Pilot Geri Çağırma varsayılan olarak etkin olacak ve bir kullanıcının etkinliğinin sık sık ekran görüntülerini veya “anlık görüntülerini” yakalayacak ve bunları kullanıcı hesabına özgü yerel bir veritabanında saklayacak. Yeni özellik aracılığıyla kişisel ve hassas verilerin açığa çıkma potansiyeli, güvenlik ve gizlilik savunucularını alarma geçirdi ve hatta konuyla ilgili Birleşik Krallık’ta bir soruşturma başlatılmasına yol açtı.
Yardımcı Pilot Geri Çağırma Gizlilik ve Güvenlik İddialarına İtiraz Edildi
Yeni özellikle ilgili uzun bir Mastodon başlığında Windows güvenlik araştırmacısı Kevin Beaumont şunları yazdı: “Bunun son on yılda yapılan en aptalca siber güvenlik hareketi olduğunu söylerken abartılı davranmıyorum. Anne ve babama bilgisayarlarını güvenli bir şekilde kullanmaları için iyi şanslar.”
Microsoft, Recall güvenliği ve gizliliği ile ilgili bir blog yazısında, işleme ve depolamanın yalnızca yerel cihazda yapıldığını ve şifrelendiğini söyledi ancak Microsoft’un kendi açıklamaları bile endişeleri artırıyor: “Recall’ın içerik denetleme yapmadığını unutmayın. Şifreler veya finansal hesap numaraları gibi bilgileri gizlemez. Bu veriler, özellikle siteler şifre girişini gizlemek gibi standart internet protokollerini takip etmediğinde, cihazınızda depolanan anlık görüntülerde bulunabilir.”
Güvenlik ve gizlilik savunucuları, verilerin yerel cihazda güvenli bir şekilde saklandığı iddialarına karşı çıkıyor. Birisinin bir kullanıcının şifresi varsa veya bir mahkeme, verilerin yasal veya hukuki yaptırım amaçları doğrultusunda devredilmesine karar verirse, Recall ile ifşa edilen veri miktarı, aksi takdirde ifşa edilecek olandan çok daha fazla olabilir. Bilgisayar korsanları ve kötü amaçlı yazılımlar, Recall olmadan çok daha fazla veriye erişebilecek.
Beaumont, ekran görüntülerinin bir SQLite veritabanında saklandığını ve buna kullanıcı olarak program aracılığıyla erişebileceğinizi söyledi. %100 fiziksel erişime ihtiyaç duymuyor ve çalınabiliyor.”
İki Microsoft çalışanının, “SQLite veritabanı tam oradayken” Recall veritabanı klasörüne kolaylıkla erişim sağladığını söylediği bir video yayınladı (aşağıda yeniden yayınlandı).
Geri Çağırma’nın Bulut Kancaları Var mı?
Beaumont ayrıca Microsoft’un tüm bunların yerel olarak yapıldığı yönündeki iddiasını da sorguladı. Mastodon’da şöyle yazdı: “Dolayısıyla Copilot+ Recall’ın temelini oluşturan kod, Windows işletim sistemine ulaşan bir dizi Azure AI arka uç kodunu içeriyor.” “Ayrıca kullanıcı etkinliğini izlemek için bir sürü API kancası var.
“Çok fazla saldırı yüzeyi açıyor. … Gerçekten bu işe el attılar ve bunun Microsoft Windows kullanan kişilerin güvenliği üzerinde derin olumsuz etkileri olacak.”
Veriler Tamamen Silinmeyebilir
Kullanıcılar tarafından silinen hassas veriler ise Ekran görüntülerini geri çağır’a kaydedilmeye devam edecek.
Beaumont, “Bilgisayarınızı kullanırken sildiğiniz şeylerin ekran görüntülerini silme özelliği yok” dedi. “Recall’ın birkaç saniyede bir yaptığı ekran görüntülerini temizlemeyi hatırlamanız gerekir. Siz veya bir arkadaşınız WhatsApp, Signal vb. uygulamalarda kaybolan mesajlar kullanırsanız, bu mesaj ne olursa olsun kaydediliyor.”
Bir yorumcu, Copilot Recall’ın, kısmen silme taleplerinden kurtulabilecek ek gereksiz veriler oluşturarak uyumluluk sorunlarını da gündeme getirdiğini söyledi. “[T]Yorumcu, PCI ve GDPR’de kapsamlı bir şekilde başarısız olduğunu ve SOC2 kontrol listesinin de pek iyi görünmediğini belirtti.
Dragos Olay Müdahale Direktörü Leslie Carhart, “öfke ve inançsızlığın haklı olduğu” yanıtını verdi.
İkinci bir yorumcu şunu belirtti: “GDPR’nin çok basit bir konsepti var: Veri Minimizasyonu. Oldukça basit bir şekilde, yalnızca gerçekten meşru, yasal bir amacınız olan verileri saklayın; ve yalnızca gerektiği sürece. Tam burada, bu her iki durumda da muhteşem bir şekilde başarısız oluyor. Çok büyük miktarda veriyi belirli bir amaç olmadan, potansiyel olarak bu verilerin makul kullanımından çok daha uzun süre depolayacak.”
Microsoft’un resmi olarak gönderilmeden önce endişeleri gidermek için Recall’da herhangi bir değişiklik yapıp yapmayacağı henüz bilinmiyor. Aksi takdirde güvenlik ve gizlilik uzmanları kendilerini her zamankinden daha meşgul bulabilirler.