Microsoft’un Copilot+ bilgisayar serisine yapay zeka destekli bir “Geri Çağırma” özelliği ekleme planları, önemli gizlilik endişelerine yol açtı. Ancak bu kaygıların ne ölçüde haklı olduğu şu anda açık bir soru olmaya devam ediyor.
Hatırlama teknolojidir Microsoft bunu kullanıcıların bilgisayarlarında görmüş olabilecekleri her şeyi kolayca bulmalarına ve hatırlamalarına olanak sağlamak olarak tanımladı. Kullanıcı ekranının periyodik anlık görüntülerini alarak, bu görüntüleri analiz ederek ve bunları, kullanıcının doğal dil kullanarak uygulamalarda, web sitelerinde, belgelerde ve görsellerde görmüş olabileceği şeyleri aramasına olanak tanıyacak şekilde saklayarak çalışır.
Fotoğrafik hafıza?
Microsoft’un açıkladığı gibi, “Recall ile PC’nizde gördüklerinize veya yaptıklarınıza fotoğrafik hafızaya sahipmişsiniz gibi hemen hemen erişebilirsiniz.” Şirkete göre Copilot+ bilgisayarları, bilgileri her kullanıcıya özel ilişkilere ve ilişkilere dayalı olarak düzenleyecek. “Bu, unutmuş olabileceğiniz şeyleri hatırlamanıza yardımcı olur, böylece aradığınızı yalnızca hatırladığınız ipuçlarını kullanarak hızlı ve sezgisel bir şekilde bulabilirsiniz.” Copilot+ bilgisayarların varsayılan yapılandırmaları, üç aya kadar anlık görüntüleri depolamak için yeterli depolama alanıyla birlikte gelecek ve bu tahsisi artırma seçeneği de sunulacak.
Microsoft, teknolojiyi tanıtırken şirketin uyguladığı çeşitli önlemlere dikkat çekti. Kullanıcı gizliliğini ve güvenliğini koruyun. Recall, yakaladığı tüm verileri yalnızca yerel olarak kullanıcının Copilot+ bilgisayarında tamamen şifrelenmiş bir şekilde depolayacaktır. Sesi veya sürekli videoyu kaydetmez ve kullanıcılar bu özelliği devre dışı bırakma olanağına sahip olacaktır. Ayrıca geçici olarak duraklatabilir, kullanıcının anlık görüntü olarak kaydedilmesini istemeyeceği uygulamaları ve web sitelerini filtreleyebilir ve Geri Çağırma verilerini istedikleri zaman silebilir.
Microsoft, kurumsal yöneticilere, grup ilkesi veya mobil cihaz yönetimi ilkesi yoluyla Geri Çağırma’yı otomatik olarak devre dışı bırakma yeteneği verecektir. Microsoft’a göre bunu yapmak, kurumsal bir ayardaki bireysel kullanıcıların ekran görüntülerini kaydedememesini ve kullanıcının cihazında kayıtlı tüm ekran görüntülerinin silinmesini sağlayacaktır. Microsoft, “Güvenebileceğiniz gizlilik sayesinde kontrol her zaman sizdedir” dedi. Şirkete göre, No Recall verileri hiçbir zaman Microsoft’a geri dönmeyecek ve biriken verilerin hiçbiri yapay zeka eğitimi amacıyla kullanılmayacak.
Küçük Güvence
Ancak bu tür güvenceler, Birleşik Krallık gibi kuruluşlar da dahil olmak üzere pek çok çevreden gelen endişeleri giderme konusunda çok az şey yaptı. Bilgi Komiserliği Ofisi (ICO) — Geri Çağırma ile ilişkili potansiyel gizlilik ve güvenlik riskleri hakkında. Şirketin, Recall’ın herhangi bir içerik denetimi yapmadan şifreler ve finansal hesap numaraları gibi hassas bilgilerin ekran görüntülerini memnuniyetle alıp kaydedeceğine dair kendi itirafı bu endişeleri artırdı.
Güvenlik araştırmacısı Kevin Beaumont, bu hafta Recall’ı yeni bir “güvenlik kabusu“Kullanıcılar için. En büyük endişesi – diğer birçok kişinin de ifade ettiği gibi – bir kullanıcının makinesindeki Recall veritabanının, şifreler, banka hesap bilgileri, Sosyal Güvenlik numaraları ve diğer hassas bilgiler dahil olmak üzere bir bilgi altın madeni olacağıdır. Saldırganlar hedef alınacak.
“Recall ile, kötü niyetli bir bilgisayar korsanı olarak, bir sisteme eriştiğiniz anda kolayca indekslenen veritabanını ve ekran görüntülerini alabileceksiniz; [three] Beaumont, varsayılan olarak aylık geçmiş olduğunu yazdı. Bilgi hırsızları, panodaki verilere ve kullanıcının önceki üç ayda yaptığı her şeye erişebilecek. “Eğer bilgisayarınızda yalnızca birkaç dakika boyunca kötü amaçlı yazılım çalıştırıyorsanız, bir büyük Artık sadece bazı şifreleri değiştirmek yerine hayatınızda sorun var.”
Geri Çağırma verilerinin saldırganlar için büyük bir hedef olmasının yanı sıra, Microsoft’un bu verilere ne tür bir erişime sahip olacağı konusunda da bazı endişeler mevcut. Microsoft’un Recall’ın kesinlikle kullanıcının cihazında kalacağına dair güvencesi endişeleri hafifletmek için çok az şey yaptı. ICO, Microsoft’tan Geri Çağırma konusunda daha fazla şeffaflık istedi. ICO, yaptığı açıklamada, “Endüstri, veri korumayı en başından itibaren dikkate almalı ve ürünleri piyasaya sunmadan önce insanların haklarına ve özgürlüklerine yönelik riskleri titizlikle değerlendirmeli ve azaltmalıdır.” dedi.
Gizliliğe Hakaret
Mine’ın kurucu ortağı ve CEO’su Gal Ringel, Geri Çağırma özelliğini kullanıcı gizliliğine bir hakaret ve hem güvenlik hem de gizlilik açısından en iyi uygulamalara saldırı olarak tanımlıyor. “Özellikle istilacı doğasının ötesinde, kredi kartı numaraları, kişisel kimlik bilgileri veya şirket ticari sırları gibi hassas verileri sansürlemek veya gizlemek için herhangi bir kısıtlamanın bulunmaması, ürün tasarımında riskler oluşturan büyük bir hatadır Siber suçluların çok ötesinde” diyor.
Ringel, bir teknoloji devi olarak Microsoft’un, çoğu işletmenin sahip olmadığı, çok sayıda yapılandırılmamış veriyi güvenli ve verimli bir şekilde işlemek ve depolamak için gerekli kaynaklara sahip olduğunu söylüyor. “Çeşitli küresel veri gizliliği düzenlemeleri kapsamında korunan verileri içerebilecek binlerce (milyonlarca olmasa da) ekran görüntüsünü toplamak ateşle oynamak gibidir.” diyerek Microsoft’un bu özelliği varsayılan olarak etkinleştirmek yerine etkinleştirmesini önerdi.
SlashNext Email+Security’nin saha CTO’su Stephen Kowski, Recall’ın sürekli ekran görüntüsü yakalama işlevinin, bir cihazın güvenliği ihlal edildiğinde potansiyel olarak hassas verileri açığa çıkarabileceğini söylüyor. Her ne kadar Microsoft, yerel olarak depolanan Geri Çağırma verilerine yetkisiz erişim riskini azaltmak için yerleşik şifreleme ve diğer güvenlik önlemlerine sahip olsa da kuruluşların teknolojiyi kullanırken kendi risk profillerini dikkate alması gerektiğini söylüyor.
Kowski, “Microsoft, Geri Çağırma’yı duraklatma, belirli uygulamaları hariç tutma ve önemli kullanıcı korumaları sağlayan şifrelemeyi kullanma gibi kontrolleriyle doğru yönde ilerliyor” diyor. “Ancak gizliliği daha da geliştirmek için Microsoft, ekran görüntülerindeki hassas verilerin otomatik olarak tanımlanması ve düzenlenmesi, daha ayrıntılı hariç tutma seçenekleri ve net kullanıcı onay akışları gibi ek önlemleri dikkate alabilir.”
UEBA Araçları Farklı mı?
Bir anlamda Recall’ın işlevselliği, birçok kuruluşun uç nokta güvenlik tehditlerini izlemek için kullandığı sayısız kullanıcı ve varlık davranışı (UEBA) aracının sunduğu işlevsellikten çok da farklı değil. UEBA araçları ayrıca kullanıcıya ve davranışlarına ilişkin hassas verileri yakalayabilir ve potansiyel olarak açığa çıkarabilir.
SANS Enstitüsü araştırma dekanı Johannes Ullrich, Recall’ın en büyük sorununun, uç noktalara ek erişim sağlaması olduğunu söylüyor. UEBA’nın veri toplama sistemi özellikle güvenlik göz önünde bulundurularak oluşturulmuştur. Ullrich, “Öte yandan geri çağırma, bir saldırganın uç noktaya saldırırken kazanabileceği ek bir ‘ödül’ ekler” diyor. “Bir saldırganın normalde erişemeyeceği geçmiş etkinliklerin veritabanını sağlıyor.”
Microsoft, giderek artan gizlilik endişeleri hakkında yorum yapılmasına yönelik Dark Reading talebine özel olarak yanıt vermedi. Bir sözcü bunun yerine şirketin gizlilik ve kontrol mekanizmalarına ilişkin blog yazısı Microsoft’un bu teknolojiyi hayata geçirdiğini söyledi.