Microsofts AI-funktion, Windows Recall, som visades upp tidigare den här veckan har redan dragit på sig skarp, hård kritik från säkerhetsforskare och säkerhetsexperter. Programmet har till och med jämförts med en så kallad keylogger, ett program som spelar in alla tangenter som trycks ned i en enhet.
Windows Recall har kallats för en integritetsmässigt katastrof.
Recall är en lösning, som Microsoft har beskrivit som, att den gör det möjligt för användare att enkelt hitta och komma ihåg vad de än kan ha sett och gjort på sin dator. Recall fungerar genom att ta periodiska ögonblicksbilder (skärmbilder) av en användares skärm, analysera dessa bilder och lagra dem på ett sätt som låter användaren söka efter saker de kan ha sett i appar, webbplatser, dokument och bilder med naturligt språk.
Microsoft beskriver funktionen som ”fotografisk minne” men säkerhetsforskare och säkerhetsexperter varnar för allvarliga integritetsproblem som kan lagra upptill tre månaders användande, som standard. De tre månaderna kan förlängas i inställningarna.
Hackare
Kevin Beaumont, säkerhetsexpert konstaterar:
”Med Recall kommer du som en illvillig hackare att kunna ta den praktiskt indexerade databasen och skärmdumparna så snart du kommer åt ett system – inklusive [tre] månaders historik som standard”
Microsofts nya funktion i Windows har fått tillsynsmyndigheter att reagera:
“We expect organisations to be transparent with users about how their data is being used and only process personal data to the extent that it is necessary to achieve a specific purpose. Industry must consider data protection from the outset and rigorously assess and mitigate risks to peoples’ rights and freedoms before bringing products to market.
“We are making enquiries with Microsoft to understand the safeguards in place to protect user privacy.”
Information Commissioner’s Office
ICO är den brittiska tillsynsmyndigheten i den här typen av ärenden.
Inget skydd
Det som också har fått säkerhetsexperter att reagera är att Microsofts inte har lagt in något skydd för kontouppgifter, vare sig bankuppgifter, inläggningar eller annan känslig information.
“Note that Recall does not perform content moderation. It will not hide information such as passwords or financial account numbers.”
”Observera att Recall inte utför innehållsmoderering. Det kommer inte att dölja information som lösenord eller finansiella kontonummer.”
För att du nu ska förstå detta rätt – Recall lagrar allt du ser i din dator, allt du gör på skärmen – inklusive inloggningar, kontouppgifter med mera i en sökningar databas. Det i sin tur betyder att om någon vill kunna se allt du har gjort, i åtminstone tre månader, så kan de stjäla den aktuella databasen då allt finns på ett och samma ställe. Onekligen praktiskt för en tjuv.
Trojan
För tydlighetens skull ska sägas att datasen med all information lagras lokalt och döljs lösenord och liknande på skärmen så döljs de också i Recall men som bland andra Kevin Beaumont påpekar – en trojan kan mycket väl stjäla inloggningsuppgifter och kan dessa sedan enkelt kopplas samman med inloggningar via Recall så har tjuven kommit över allt det som krävs för att kunna stjäla mycket integritetskänslig information.
Omfattningen av problemet är enorm – stulna uppgifter uppgår till miljarder, och stora delar kommer från infostealer-trojaner på Windows-system. Microsoft erbjuder lösningar på detta men stulna uppgifter utgör en stor del av ransomware-problemet.
0 kommentarer