安全動(dòng)態(tài)

Windows的新Recall功能:隱私和安全的噩夢(mèng)?

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-05-27    瀏覽次數(shù):
 
本月早些時(shí)候,微軟CEO Satya Nadella向員工發(fā)出備忘錄,要求他們優(yōu)先考慮安全,甚至在發(fā)布新功能之前。

微軟宣布推出Windows 11支持的Copilot+系列PC,其中包括Recall功能,該功能每隔幾秒鐘截屏一次,對(duì)其進(jìn)行加密保存,并利用AI讓用戶搜索查看在應(yīng)用程序、網(wǎng)站、文檔等中瀏覽過(guò)的特定內(nèi)容。

這可能會(huì)出現(xiàn)什么問(wèn)題呢?

關(guān)于Windows Recall

“當(dāng)你在Recall中找到你要找的快照時(shí),它會(huì)進(jìn)行分析并提供與你的內(nèi)容互動(dòng)的選項(xiàng)。你可以采取的操作取決于內(nèi)容和Windows中Copilot的聊天提供商功能。例如,你可以突出顯示一段文字,并選擇將其總結(jié)、翻譯或用Word或記事本等文本編輯器打開(kāi)。如果你突出顯示一張圖片,你將能夠編輯它或使用Windows中Copilot的聊天提供商找到或創(chuàng)建類似的圖片?!蔽④浗忉尩馈?

“Recall還將使你能夠在創(chuàng)建快照的原始應(yīng)用程序中打開(kāi)它,隨著Recall的不斷改進(jìn),它將打開(kāi)截圖中的實(shí)際源文檔、網(wǎng)站或電子郵件。”

以下是與此新功能相關(guān)的最顯著的細(xì)節(jié)(微軟概述):

? 截圖僅存儲(chǔ)在設(shè)備上,并使用“設(shè)備上的數(shù)據(jù)加密和(如果你有Windows 11 Pro或企業(yè)版Windows 11 SKU)BitLocker”進(jìn)行保護(hù)。

? 截圖不會(huì)被發(fā)送到微軟或用于廣告定位。

? “截圖僅對(duì)使用該設(shè)備登錄的個(gè)人可用。如果兩個(gè)人使用不同的個(gè)人資料共享設(shè)備,他們將無(wú)法訪問(wèn)對(duì)方的截圖。如果他們使用相同的個(gè)人資料登錄設(shè)備,他們將共享截圖歷史記錄?!?

? 用戶可以防止Recall從特定應(yīng)用程序或支持的瀏覽器訪問(wèn)的網(wǎng)站收集內(nèi)容。Recall不會(huì)截取Microsoft Edge中InPrivate網(wǎng)頁(yè)瀏覽會(huì)話、受DRM保護(hù)的內(nèi)容的快照,但“不會(huì)隱藏諸如密碼或金融賬戶號(hào)碼等信息,尤其是在網(wǎng)站不遵循標(biāo)準(zhǔn)互聯(lián)網(wǎng)協(xié)議如密碼輸入遮蔽時(shí)?!?

? 用戶可以暫??煺盏膭?chuàng)建、刪除它們并關(guān)閉Recall功能。

Windows Recall功能可能存在的安全和隱私陷阱

習(xí)慣于從攻擊者角度看待技術(shù)解決方案和新功能的安全和隱私專業(yè)人士立即指出了其可能的缺點(diǎn)。

Kevin Beaumont認(rèn)為,這一功能將對(duì)使用信息竊取惡意軟件的犯罪分子大有裨益?!罢麄€(gè)事情真的是一個(gè)非常糟糕的主意,它將使AI成為欺詐者的超級(jí)助手——只需竊取Recall數(shù)據(jù)庫(kù),而不是僅僅竊取本地瀏覽器密碼數(shù)據(jù)庫(kù),”他指出。

即使數(shù)據(jù)庫(kù)不能被外傳,仍然有信息竊取者使用光學(xué)字符識(shí)別(OCR)從圖像/截圖中提取敏感文本。

Beaumont還指出,盡管Recall可以關(guān)閉,但它也可以被威脅行為者通過(guò)Powershell秘密開(kāi)啟。

“微軟正在使用Copilot發(fā)明一個(gè)新的安全噩夢(mèng),這無(wú)疑會(huì)導(dǎo)致消費(fèi)者欺詐增加以及企業(yè)的其他困境,”他評(píng)論道。

除此之外,還有其他可能出現(xiàn)的安全、隱私和安全問(wèn)題。

首先:你有多信任你的伴侶/家人/室友/同事(甚至是你的政府)?如果他們?cè)O(shè)法獲取你的計(jì)算機(jī)密碼,他們可以輕松地通過(guò)你的快照搜索其他密碼、敏感數(shù)據(jù)等。

企業(yè)也應(yīng)該考慮到該功能可能會(huì)“記住”機(jī)密的商業(yè)數(shù)據(jù)。

再者:你有多信任微軟?該公司目前沒(méi)有使用Recall快照,但未來(lái)很容易改變。例如,他們可能希望使用該功能來(lái)訓(xùn)練AI。

本月早些時(shí)候,微軟CEO Satya Nadella向員工發(fā)出備忘錄,要求他們優(yōu)先考慮安全,甚至在發(fā)布新功能之前。

我猜時(shí)間會(huì)告訴我們,這是否只是為了在公司過(guò)去幾年遭受懷疑由國(guó)家支持的黑客攻擊和CISA網(wǎng)絡(luò)安全審查委員會(huì)對(duì)公司防御的嚴(yán)厲報(bào)告后,爭(zhēng)取一些良好的宣傳。

 
 

上一篇:工信部通報(bào)50款侵害用戶權(quán)益行為的APP(SDK)

下一篇:2024年5月27日聚銘安全速遞