Hadlee Simons / Android Authority
TL;DR
- Un ricercatore di cybersecurity ha pubblicato un breve script Python che evidenzia potenziali falle di privacy nella funzione Recall di Windows.
- Lo script può cercare termini sensibili nel database di Recall, inclusi password.
- La discussa funzione AI sarà disponibile da fine mese con l’uscita dei primi computer alimentati da Snapdragon X.
In soli 171 righe di codice, uno script Python ha rivelato diverse vulnerabilità di sicurezza e privacy nell’ambito di Recall, la discussa funzione AI che sarà introdotta in Windows 11. Questa funzione, che sarà disponibile con i primi Copilot Plus PC a partire da fine mese, cattura screenshot ogni cinque secondi, organizzandoli in un timeline visuale. Il CEO di Microsoft Satya Nadella ha descritto la funzione come una “memoria fotografica” per i PC Windows.
problemi di sicurezza e vulnerabilità rilevate
Un singolo sviluppatore ha rilasciato un script Python che estrae automaticamente informazioni sensibili dal database di Recall. Chiamato ironicamente TotalRecall, questo strumento copia i database e screenshot e poi analizza il database alla ricerca di artefatti potenzialmente interessanti. TotalRecall è in grado di eseguire ricerche automatiche di termini specifici come “password” nel database di Recall, eliminando la necessità di forzare la crittografia.
critiche degli esperti di sicurezza
Sin dalla presentazione di Recall lo scorso mese, i ricercatori di sicurezza hanno criticato unanimemente la funzione, inizialmente per le ipotetiche implicazioni sulla privacy e successivamente per falle di sicurezza documentate. Alle dichiarazioni di Microsoft, che affermava la protezione dei dati di Recall e il loro accesso limitato agli utenti individuali, si sono opposte segnalazioni di svariate falle che permetterebbero accesso non autorizzato.
Degli impiegati di Microsoft sono stati filmati mentre mostravano il percorso esatto verso un database di Recall in un video caricato su TikTok a fine mese scorso.
conseguenze della pubblicazione dello script TotalRecall
revisioni e test sulla funzionalità
L’ex impiegato Microsoft e ricercatore di cybersecurity Kevin Beaumont ha testato Recall prima del suo lancio ufficiale, sollevando varie preoccupazioni sulla privacy. Considerando che Recall estrae automaticamente testo dagli screenshot, viene raccolto anche materiale sensibile come password visibili, numeri di carta di credito e messaggi di chat.
archiviazione dei dati e rischi per la privacy
Recall salva tutto il testo estratto in un semplice database SQLite, consultandolo ogni volta che gli utenti accedono alla timeline o utilizzano la funzione di ricerca. Secondo i critici, questi dati sono praticamente non protetti, poiché la maggior parte degli utenti di Windows ha privilegi amministrativi, permettendo ad altri utenti di un computer condiviso di accedere facilmente ai database altrui.
Microsoft ha anche affermato che un malintenzionato avrebbe bisogno di accesso fisico al computer e di un account autenticato per compromettere i dati di Recall. Software dannosi potrebbero evolversi per estrarre e caricare automaticamente i database di Recall mentre le vittime utilizzano attivamente il loro dispositivo, come viene già fatto dallo script TotalRecall.
dimensione del database e rivelazione dei dati
Secondo Beaumont, il database di Recall contenente solo testo ammontava a soli 90 kilobyte dopo diversi giorni di utilizzo. Ciò significa che sarebbe difficile per un utente attento rilevare o impedire la fuga di propri dati attraverso la rete. Con malware sofisticati che cercano specificamente password o informazioni di carte di credito, gli hacker potrebbero essere fortemente incentivati a prendere di mira i Copilot Plus PC in massa.
Lascia un commento