A nova ferramenta Recall do Windows 11 é um verdadeiro “desastre em segurança”, avaliou o especialista em cibersegurança Kevin Beaumont. O ex-funcionário da Microsoft experimentou a novidade na última semana e encontrou brechas graves que podem comprometer a integridade dos dados do usuário.
Beaumont destrinchou o comportamento do Recall e descobriu que toda a atividade do usuário é registrada em texto limpo, sem qualquer criptografia, em uma base de dados SQLite. “Esse arquivo em base de dados registra tudo que você viu no seu PC em texto limpo”, comentou no X, antigo Twitter.
“Em um intervalo de segundos, são tirados prints da sua tela. Esses arquivos são analisados pelo reconhecimento óptico de caracteres (OCR) da IA da Azure de forma automática, tudo no seu PC, e registrado em uma base de dados SQLite dentro da pasta do usuário”, descreveu Beaumont.
Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.
Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.
HT detective pic.twitter.com/Njv2C9myxQ
— Kevin Beaumont (@GossiTheDog) May 30, 2024
Na publicação, Beaumont mostrou que os arquivos são guardados localmente no armazenamento interno. Eles ficam na pasta AppData, tradicionalmente acessível somente pelo administrador. Contudo, o especialista alega que não é preciso ter uma conta com privilégios de administrador para acessar o documento.
Isso coloca a integridade dos dados do usuário em risco, facilitando o trabalho de invasores e malware que tentam roubar informações — trojans, por exemplo. Vale lembrar que as capturas de tela não têm qualquer moderação de conteúdo, portanto registram credenciais (nomes de usuário e senhas) e dados sensíveis sem qualquer discrição ou proteção.
“O Recall possibilita que atores maliciosos automatizem a coleta de dados de tudo que você viu nos últimos segundos”, considerou Beaumont.
Altos riscos
O Recall é basicamente um histórico extremamente profundo sobre sua atividade do computador. A novidade foi apresentada como vantagem exclusiva dos Copilot Plus PCs, máquinas habilitadas para rodar inteligência artificial (IA) de forma local.
Atualmente, o Windows já registra a atividade do usuário de forma opcional através da função “Histórico de Atividades”. A função registra programas, buscas e outros detalhes para otimizar consultas posteriores — assim acelerando pesquisas recorrentes, dando continuidade a projetos inacabados e mais.
Contudo, o Recall dá um passo a mais nesse aspecto: a ferramenta tira prints da tela em um intervalo de segundos e usa IA para interpretar o conteúdo registrado. Se o usuário quiser, ele pode revisitar qualquer momento da própria atividade no computador.
A novidade foi recebida com críticas, porém. O Recall não conta com nenhuma proteção contra a captura de dados sensíveis. O risco agregado ao recurso chamou a atenção até de entidades protetoras de dados do Reino Unido.
Atualmente, o Recall está disponível apenas para testadores. A ferramenta continua em desenvolvimento e, após as críticas, talvez passe por uma revisão antes do lançamento definitivo.