A Microsoft a múlt hónapban mutatta be a Recall funkciót, amelynek lényege az, hogy a Windows a rendszer működése során szinte minden másodpercben készít egy képernyőképet, hogy szó szerint képben legyen arról, mikor mit csinál a felhasználó. A fotókat mesterséges intelligencia is elemzi, a funkcióból adódó fotografikus memóriának hála pedig a digitális asszisztens olyan kérdésekre is válaszolni tud majd, amelyek valamilyen múltbeli, a felhasználó által végrehajtott cselekményhez kapcsolódnak.
Noha a funkció a Microsoft közleménye szerint első körben csak a Copilot+ gépeken lesz elérhető, mert NPU-t is igényel, pár nappal később kiderült, hogy ez nem igaz: a funkció legalábbis aktiválható olyan rendszeren is, amely AMD processzoros gépen fut. Ha pedig az elvi lehetőség megvan, akkor viszonylag nagy összegben lehet fogadni arra, hogy idővel a Microsoft egy szoftverfrissítéssel ezekre a gépekre is becsempészi majd valahogyan a szolgáltatást.
Szakértők villámgyorsan adatvédelmi rémálomnak nevezték a Recallt, egyesek szerint az adatbiztonsági állapotokat a tíz évvel ezelőtti szintre löki vissza. Az ellenséges reakciók persze a felhasználók részéről sem maradtak el; vannak, akik kémprogramhoz hasonlítják a Recall működését, tegyük hozzá, nem teljesen nem alaptalanul.
Egy brit szakértő, Kevin Beaumont most alaposabban is elkezdte vizsgálni, hogyan működik a Recall; elsősorban arra volt kíváncsi, hogy a funkció rejt-e magában biztonsági kockázatokat. Hamar kiderült, hogy igen. A Recall az általa gyűjtött információkat terjedelmes szöveges adatbázisban, titkosítás nélkül tárolja, amely a jelek szerint egész könnyen megkaparintható - pedig korábban a Microsoft illetékesei azt nyilatkozták, hogy a képernyőmentésekből nyert információkhoz illetéktelenek vagy egy hacker csak akkor tud hozzáférni, ha fizikailag a gép előtt ül, és be is tud jelentkezni azon.
A Recall működési elve viszonylag egyszerű: a pár másodpercenként létrehozott képernyőmentéseken a mesterséges intelligencia felismeri a szövegeket, az adatok pedig ezt követően egy SQLite adatbázisba kerülnek, és ezzel kereshetővé válnak. Az adatbázis a felhasználó saját AppData\CoreAIPlatform mappájába kerül - és a probléma itt kezdődik. Ha például egynél többen használják a PC-t otthon, akkor jó eséllyel mindenkinek rendszergazdai jogosultsága van, ami azt jelenti, hogy a gépen mindenki nemcsak a saját profiladatokhoz, hanem mások profiladataihoz is hozzá tud férni. Egy hackernek tehát elég egyetlen fiókot feltörnie ahhoz, hogy a gépen mindenki Recall adataihoz hozzáférjen - ráadásul a dologból következik az is, hogy mindezt akár távolról is meg tudja tenni. Még nagyobb probléma, hogy a kártevőket kifejezetten úgy is meg lehet írni, hogy ezt az adatbázist támadják; belőle megtudható ugyanis lényegében bármilyen információ, amit az adott számítógépen a felhasználó valaha megnyitott, megnézett vagy begépelt.
Egyelőre a Recall még nem elérhető élesben, így van minimális esély arra, hogy a Microsoft kijavítja azokat a hiányosságokat, amelyek időközben kiderültek - bár ha a vállalat reakcióit nézzük, akkor hiú ábrándokat azért kár kergetni. A Microsoft szerint ugyanis a funkció biztonságos, vannak benne adatvédelmi mechanizmusok, és konfigurálható is. Letilthatók például alkalmazások és weboldalak, amelyekről nem készül képernyőmentés, továbbá alapból nem foglalkozik a Recall a digitális szerzői jog alá eső anyagokkal és a böngészők privát ablakaival sem. Tartalomszűrő viszont nincs, így a bankszámla száma vagy rosszabb esetben egy-egy jelszó is bekerülhet az adatbázisba. Gondunk a koncepcióval is lehet: a Microsoft megint átment Apple-be, és egy olyan dolgot készül a felhasználókra erőltetni, amit ők nagyon nem szeretnének. Ez még akkor is aggályos lenne, ha a Recallt jól lehetne paraméterezni, vagy akár a teljes tiltást is választhatnánk - de nem.
A csavar a történetben az, hogy a Recall bejelentése mindössze napokkal azt követően érkezett, hogy a Microsoft első embere, Satya Nadella magabiztosan azt nyilatkozta, hogy ha a biztonság és valamilyen más szempont között kell dönteni, akkor a biztonság prioritást élvez még akkor is, ha ez adott esetben egy funkció bevezetésének elhalasztását vagy akár teljes lefújását eredményezi. A jelek szerint elég gyorsan ki fog derülni, hogy komolyan gondolta-e, amit mondott.
