Microsoft Recall продолжает сохранять номера кредитных карт и пароли
Проблемы с безопасностью функции Microsoft Recall снова оказались в центре внимания после того, как тесты показали, что инструмент для создания скриншотов с помощью ИИ по-прежнему фиксирует конфиденциальные данные. Перед выходом публичной бета-версии в апреле Microsoft внесла ряд обновлений безопасности в Recall, включая фильтр, который должен блокировать запись паролей, данных кредитных карт, номеров социального страхования и другой чувствительной информации. Однако, судя по всему, системе требуется дополнительная доработка.
Журналист The Register Аврам Пилч провёл углублённое тестирование безопасности Recall, которое выявило, что ИИ не всегда фильтрует конфиденциальные данные. Фильтр обычно срабатывал, когда на экране появлялись ключевые слова, такие как «пароль» или «оплата», но если их не было, Recall часто делал скриншоты. Например, инструмент зафиксировал текстовый документ со списком логинов и паролей, которые не были помечены как конфиденциальные.
Логично, что ИИ Microsoft может полагаться на визуальные подсказки, такие как слово «пароль», чтобы распознавать чувствительную информацию. Однако такая стратегия явно несовершенна. Если ключевые слова отображаются не так, как ожидает ИИ, или их вообще нет, велика вероятность, что фильтр не сработает. Это означает, что пользователи не могут быть уверены, что Recall корректно отфильтрует их личные данные.
«Существует так много способов хранения и обращения к личным данным, что невозможно представить, чтобы Recall или любое другое ПО смогли их все распознать», — отметил Пилч.
Пароли и номера кредитных карт — не единственная информация, которая может оказаться под угрозой. Тест также показал, что Recall делает скриншоты страниц банковских счетов с балансом и историей транзакций. Даже без данных для входа эта информация может быть полезна злоумышленникам.
Ещё одна проблема, обнаруженная в ходе тестирования, — возможность удалённого доступа к скриншотам Recall. Активировать функцию можно только после настройки Windows Hello Enhanced Sign-On, который должен требовать отпечаток пальца или распознавание лица. Однако Пилч смог войти в систему с помощью PIN-кода, а затем использовал его для удалённого доступа ко всем скриншотам Recall на своём Copilot+ ПК.
Для тех, кто следил за развитием Recall, эти проблемы не стали неожиданностью. Функция неоднократно подвергалась критике из-за вопросов безопасности и конфиденциальности, и ни одно из обновлений пока не смогло их решить. Несмотря на то, что Recall всё ещё находится в статусе «предварительной версии», Microsoft активно продвигает его в процессе настройки Windows 11. Пока что самый безопасный вариант — полностью отключить Recall.
0 комментариев