Zbliżająca się funkcja przywracania systemu Microsoft dla systemu Windows 11 wywołała debatę na temat prywatności i bezpieczeństwa. Nowa funkcja, która co kilka sekund przechwytuje i przechowuje migawki aktywnego ekranu użytkownika, jest wciąż w fazie podglądu, ale spotkała się już z poważną krytyką ze strony obrońców prywatności i ekspertów ds. cyberbezpieczeństwa. Funkcja Recall umożliwia przeszukiwanie wcześniejszej aktywności wszystkich użytkowników, w tym plików, zdjęć, e-maili i historii przeglądania.
Microsoft wyjaśnił, że funkcja Recall będzie dostępna wyłącznie na nadchodzących komputerach Copilot+. Firma stwierdziła również, że funkcja Recall to „opcjonalne doświadczenie” i użytkownicy mogą ograniczyć gromadzenie migawek. Firma Microsoft podkreśliła, że dane funkcji Recall są przechowywane lokalnie i nie ma do nich dostępu ani firma Microsoft, ani żadna inna osoba bez dostępu do urządzenia. Haker potrzebowałby fizycznego dostępu do urządzenie, odblokuj je i zaloguj się, aby uzyskać dostęp do zapisanych zrzutów ekranu.
Problemy z funkcjonalnością i prywatnością
Funkcja Windows Recall została zaprojektowana tak, aby umożliwić użytkownikom przewijanie poprzez zawartość poprzedniego ekranu i interakcję z nią, w tym ponowne otwieranie oryginalnej aplikacji lub dokumentu źródłowego. Według Microsoftu całe przetwarzanie tej funkcji odbywa się na urządzeniu użytkownika i z czasem ma to ulec poprawie podniesione brwi. Szyfrowanie funkcją BitLocker, które zapewnia solidną ochronę, jest dostępne tylko na urządzeniach z systemem Windows 11 Pro lub Enterprise. Inni użytkownicy muszą polegać na mniej bezpiecznym „szyfrowaniu danych”.
Firma Microsoft dokumentacja dotycząca funkcji Recall wskazuje, że funkcja ta nie moderuje treści. Oznacza to, że wrażliwe informacje, takie jak hasła lub dane finansowe, mogą być przechowywane w migawkach, jeśli strony internetowe nie przestrzegają standardowych protokołów maskowania wprowadzania haseł. Użytkownicy przeglądarki Edge firmy Microsoft mogą odfiltrować przechwytywanie określonych witryn internetowych, ale ta funkcja nie jest rozszerzona na inne przeglądarki. Dodatkowo użytkownicy Edge mogą uniemożliwić Recall zapisywanie treści z prywatnych sesji przeglądania, co nie jest gwarantowane w przypadku innych przeglądarek opartych na Chromium, takich jak Google Chrome czy Vivaldi.
Reakcje branży i obawy dotyczące bezpieczeństwa
Dyrektor ds. produktu Mozilli, Steve Teixeira, podzielił się z The Register swoimi obawami o tej funkcji, zauważając, że przechowuje ona nie tylko historię przeglądarki, ale także dane wpisane przez użytkownika, przy minimalnej kontroli nad tym, co jest zapisywane. Podkreślił, że chociaż dane są szyfrowane, stwarza to nowy wektor ataku dla cyberprzestępców i stwarza problemy związane z prywatnością współdzielonych komputerów. Teixeira skrytykował także Microsoft za faworyzowanie własnej przeglądarki Edge, pozwalając jej na blokowanie określonych stron internetowych i aktywności związanej z przeglądaniem prywatnym przed Recall, a jest to funkcja niedostępna w przeglądarkach innych niż Chromium, takich jak Firefox.
Kevin Beaumont, specjalista ds. cyberbezpieczeństwa ekspert, ostro skrytykował tę technologię, porównując ją do keylogger zintegrowany z systemem Windows. Ekspert AI, Gary Marcus, bez ogródek wyraził swój sprzeciw, wyrażając obawy związane z ciągłą inwigilacją ze strony komputera.
TO jest firma, która chce rejestrować dosłownie wszystko, co kiedykolwiek zrobisz na swoim komputerze.
(Zgłoszenie dotyczy ponownego ataku w zeszłym roku.)
Jeśli nie uważasz, że usługa Microsoft Recall, lokalna lub nie, będzie jednym z największych cybercelów w historii, to nieprawda nie zwracam uwagi. pic.twitter.com/7xWEp3Amjd
— Gary Marcus (@GaryMarcus) 21 maja 2024 r.
Kontrola regulacyjna i perspektywy na przyszłość
Brytyjskie Biuro Komisarza ds. Informacji ogłoszono, że kieruje zapytania do firmy Microsoft w celu zrozumienia zabezpieczeń prywatności obowiązujących w przypadku usługi Windows Recall. Urząd podkreślił znaczenie przejrzystości i konieczność przetwarzania danych osobowych wyłącznie w zakresie niezbędnym do realizacji konkretnych celów. Same implikacje RODO sprawiają, że ta funkcja jest przedmiotem intensywnej analizy. W ich oświadczeniu czytamy:
„Oczekujemy, że organizacje będą przejrzyste wobec użytkowników w zakresie sposobu wykorzystywania ich danych i przetwarzają dane osobowe tylko w zakresie, w jakim jest to konieczne do osiągnięcia określonego celu. Przemysł musi od samego początku rozważyć kwestię ochrony danych oraz rygorystycznie oceniać i ograniczać zagrożenia dla praw i wolności ludzi przed wprowadzeniem produktów na rynek. Kierujemy zapytania do firmy Microsoft, aby poznać stosowane zabezpieczenia chroniące prywatność użytkowników.”
[treść osadzona]
