Hadlee Simons / Autoridade Android
DR
- Um pesquisador de segurança cibernética publicou um pequeno script Python que mostra possíveis lapsos de privacidade no próximo recurso Recall do Windows.
- O script pode procurar termos confidenciais no banco de dados do Recall, incluindo senhas.
- O polêmico recurso de IA será lançado ainda este mês, quando os primeiros computadores com Snapdragon X forem colocados à venda.
Com apenas 171 linhas de código, um script Python expôs vários riscos de segurança e privacidade que assolam o Recall, o polêmico recurso de IA que está chegando ao Windows 11. Destinado a ser lançado junto com os primeiros PCs Copilot Plus no final deste mês, o Recall captura capturas de tela a cada cinco segundos e organiza-os em uma linha do tempo visual. O CEO da Microsoft, Satya Nadella, comparou o recurso à “memória fotográfica” para PCs com Windows.
Antes do lançamento do Recall, no entanto, um desenvolvedor solitário publicou um script Python que extrai automaticamente informações confidenciais do banco de dados do recurso. Chamada atrevidamente de TotalRecall, a ferramenta “copia os bancos de dados e capturas de tela e, em seguida, analisa o banco de dados em busca de artefatos potencialmente interessantes”.
O TotalRecall também pode verificar e buscar automaticamente certos termos lucrativos – como “senha” – do banco de dados Recall de um usuário. A execução do script leva pouco ou nenhum tempo e não requer força bruta por meio de criptografia. Segundo o autor do roteiro, Alexander Hagenah, os dados são todos armazenados em texto simples enquanto o computador está em uso.
Desde o lançamento do Recall no mês passado, os pesquisadores de segurança criticaram unanimemente o recurso – a princípio apenas por implicações hipotéticas de privacidade, mas mais recentemente por lapsos de segurança documentados.
A Microsoft afirmou anteriormente que os dados do Recall permaneceriam privados e acessíveis apenas a usuários individuais. No entanto, surgiram agora várias lacunas que podem permitir o acesso não autorizado não apenas de hackers, mas também de outros usuários que compartilham um computador.
Dois funcionários da Microsoft foram vistos mostrando o caminho exato para um banco de dados Recall em um vídeo enviado ao TikTok no final do mês passado.
O lançamento do script TotalRecall ocorre depois que Kevin Beaumont, ex-funcionário da Microsoft e pesquisador de segurança cibernética, testou o Recall antes de seu lançamento oficial e levantou várias preocupações relacionadas à privacidade. Em particular, como o Recall extrai automaticamente o texto das capturas de tela, ele acaba coletando dados confidenciais, como campos de senha expostos, números de cartão de crédito e mensagens de bate-papo.
O Recall armazena todo o texto digitalizado em um banco de dados SQLite simples, referenciando-o sempre que os usuários acessam a linha do tempo ou a função de pesquisa. No entanto, os críticos do recurso argumentam que esses dados estão praticamente desprotegidos, visto que a maioria dos usuários do Windows possui privilégios administrativos. Em um computador compartilhado, isso significa que familiares e amigos podem acessar facilmente os bancos de dados uns dos outros.
A Microsoft também alegou que os atores mal-intencionados precisariam de acesso físico ao computador e de uma conta conectada para comprometer os dados do Recall. No entanto, software malicioso pode evoluir para buscar e fazer upload automaticamente de bancos de dados Recall enquanto as vítimas usam ativamente seus dispositivos, como o script TotalRecall já faz em primeiro plano. Isso evitaria a necessidade de acesso físico ao dispositivo.
De acordo com os testes de Beaumont, o banco de dados Recall somente de texto totalizou apenas 90 kilobytes após vários dias de uso. Isso significa que mesmo um usuário alerta teria dificuldade em detectar ou impedir que seus dados vazassem pela rede. E com malware sofisticado que busca especificamente senhas ou informações de cartão de crédito, os hackers podem ser fortemente incentivados a atacar em massa os PCs Copilot Plus.
Tem uma dica? Fale Conosco! Envie um e-mail para nossa equipe em [email protected]. Você pode permanecer anônimo ou obter crédito pelas informações, a escolha é sua.