Microsoft, 18 Haziran’da yeni AI destekli Recall özelliğini piyasaya sürüyor. Recall, Copilot Plus PC’lerin bir parçası olup, bilgisayarınızdaki her şeyi ekran görüntüsü alarak kaydediyor. Ancak uzmanlar, bu özelliğin siber güvenlik için felaket olabileceğini belirtiyor.
Recall, yerel AI modelleri kullanarak bilgisayarınızdaki her şeyi ekran görüntüsü alır ve ardından saniyeler içinde arama ve geri getirme olanağı sağlar. Her şeyin yerel ve özel kalması hedefleniyor, ancak siber güvenlik uzmanı Kevin Beaumont, bazı güvenlik açıkları tespit etti. Beaumont, verilerin bir veritabanında düz metin olarak saklandığını ve bu nedenle kötü amaçlı yazılımların kolayca veritabanını ve içeriğini çıkarabileceğini söylüyor.
Beaumont, blog yazısında her birkaç saniyede bir ekran görüntüsü alındığını ve bunların Azure AI tarafından OCR ile işlenip kullanıcı klasöründe bir SQLite veritabanına yazıldığını açıklıyor. Bu veritabanının, bilgisayarınızda gördüğünüz her şeyi düz metin olarak kaydettiğini belirtti. Beaumont, veritabanının AppData klasöründen erişilebilir olduğunu ve yönetici olmayan kullanıcıların bile erişebileceğini iddia ediyor.
Recall, bilgilerin kötü amaçlı yazılımlar ve saldırganlar tarafından çalınmasını kolaylaştırabilir. Bilgi hırsızı trojanlar, zaten kimlik bilgilerini ve bilgileri çalmak için mevcut. Beaumont, kendi Recall veritabanını çıkardığını ve bir web sitesi oluşturduğunu, buraya veritabanı yükleyip anında arama yapılabileceğini söylüyor.
Microsoft, Recall’u varsayılan olarak etkinleştirmeyi planlıyor. Recall, yeni bir Copilot Plus PC kurulumunda varsayılan olarak etkinleştirilmiş durumda ve kurulum sürecinde devre dışı bırakma seçeneği sunmuyor. Microsoft, bu kurulum sürecini değiştirmeyi tartışıyor.
Recall duyurusuna tepki hızlı oldu. Gizlilik savunucuları, bunun potansiyel bir “gizlilik kabusu” olduğunu belirtiyor. Microsoft, Recall’un isteğe bağlı bir deneyim olduğunu ve gizlilik kontrolleri içerdiğini iddia ediyor. Belirli URL’leri ve uygulamaları devre dışı bırakabilirsiniz, ancak Recall, dijital haklar yönetimi araçları ile korunan materyalleri saklamaz.
Recall, içerik moderasyonu yapmıyor, bu nedenle şifreler veya finansal hesap numaraları gibi bilgileri gizlemez. Microsoft’un SSS sayfası, kötü amaçlı yazılımların Recall veritabanını çalma olasılığını ele almıyor. Beaumont, disk şifrelemenin yalnızca belirli senaryolarda işe yaradığını belirtiyor. “Şifreleme yalnızca birisi bilgisayarınızı fiziksel olarak çaldığında işe yarar” diyor.
Recall’un bazı bariz açıkları olduğu açık ve Microsoft, Recall’u yeniden gözden geçirmek zorunda kalabilir. Recall’un lansmanı, Microsoft CEO’su Satya Nadella’nın güvenliği “en yüksek öncelik” yapma çağrısının hemen ardından geliyor. The Verge, Microsoft’tan Recall ile ilgili güvenlik ve gizlilik endişelerine dair yorum yapmasını istedi, ancak şirket yanıt vermedi.
