Microsoft’un Recall, kullanıcıların PC’lerinde yaptıkları işlemleri ekran görüntüsü alarak kaydeden yapay zeka destekli bir Windows özelliği, siber güvenlik açısından “felaket” ve gizlilik sorunları olarak nitelendirildi. Kullanıcı tepkileri sonrası bir yıl süren yeniden tasarım sürecinin ardından Recall, şimdi yine güvenlik ve gizlilik endişeleriyle karşı karşıya.
Siber güvenlik uzmanı Alexander Hagenah, Microsoft’un Recall özelliğine yönelik açıkları ortaya koyan TotalRecall Reloaded adında bir araç geliştirdi. Bu araç, Recall’un yeniden tasarımı öncesinde orijinal özelliğin tüm zayıflıklarını gösteren TotalRecall aracının bir güncellemesi.
Microsoft’un yeni tasarımı, Recall verilerini güvenli bir şekilde saklayabileceği bir sanal alan yaratmaya odaklandı. Bu süreçte, kullanıcılardan yüz tanıma veya parmak izi ile kimlik doğrulaması yapmaları isteniyor. Bu güvenlik önlemi, kötü amaçlı yazılımların kullanıcı kimlik doğrulamasını kullanarak veri çalmaya çalışmasını engellemeye yardımcı oluyor.
Hagenah, “Araştırmam, kasanın gerçek olduğunu gösteriyor, ancak güven sınırı çok erken sona eriyor,” diyor. TotalRecall Reloaded aracı, kullanıcıyı bir Windows Hello istemiyle kimlik doğrulamaya zorlayabilir ve kimlik doğrulamasından sonra Recall’un yakaladığı her şeyi çıkarabilir. “Microsoft’un mimarisi, tam olarak bunu kısıtlamak için tasarlandı,” diyor Hagenah.
Recall, yalnızca ekran görüntülerini değil, ekranda görünen metinlerin tarihini, mesajları, e-postaları, belgeleri, tarayıcı geçmişini ve çok daha fazlasını saklıyor. Microsoft’un Recall özelliğindeki güvenlik değişiklikleri, CEO Satya Nadella’nın “Güvenlik ile başka bir öncelik arasında bir tercih yapmanız gerektiğinde, yanıtınız açıktır: Güvenlik önceliği verin” dediği bir dönemden sonra geldi.
Hagenah, bulgularını Microsoft’a geçtiğimiz ay sorumlu bir şekilde bildirdi, ancak şirket raporu kapattı ve herhangi bir güvenlik açığı olmadığını söyledi. Microsoft Güvenlik Başkan Yardımcısı David Weston, “Alexander Hagenah’ın bu sorunu tanımlayıp sorumlu bir şekilde bildirmesinden memnuniyet duyuyoruz. İnceleme sonrası, gösterilen erişim modellerinin mevcut korumalarla tutarlı olduğu ve bir güvenlik sınırını aşma ya da yetkisiz erişim anlamına gelmediği sonucuna vardık,” dedi.
Hagenah, Microsoft’un zaman aşımı korumalarını sorguladı ve “Verileri yeniden sorgulayabilirim, aracım bunu aşmak için tasarlandı. Zaman aşımı devrede dışarıda bırakıldı,” şeklinde iddialarda bulundu. Ayrıca, “Microsoft’un resmi duyurularında belirtildiği gibi, kasanın ‘latent kötü amaçlı yazılımları engellemesi’ mümkün değil,” dedi.
TotalRecall Reloaded, en son önbelleğe alınmış Windows Recall ekran görüntüsünü Windows Hello kimliği gerektirmeden çıkarabilir veya tüm yakalama geçmişini silme yeteneğine sahip. Ancak Hagenah tarafından tanımlanan bir tür kötü amaçlı yazılım, Windows Recall ile birlikte ya da olmadan arka planda bulunarak ekran görüntüsü alabilir. Microsoft, bunun bir güvenlik açığı olmadığını çünkü Windows’un normal işleyişinin bir parçası olduğunu belirtiyor. Kullanıcı modundaki işlemler, kendilerine kod enjekte edebilir, bu da kötüye kullanım fırsatları doğurabiliyor.
Hagenah, sıkı güvenlik önlemleri gerektiren bir durum olan Recall’un yalnızca parolaları veya tarayıcı geçmişini saklamadığını, daha hassas verileri de barındırdığını belirtiyor. Microsoft, Recall’un kötü amaçlı yazılımlara karşı koruma sağlama vaadini gerçekleştiremediğini düşünenlerden biri.
Yine de Microsoft’un Recall’daki yeniden tasarımında kayda değer başarılı noktalar var. Hagenah, “VBS alanı oldukça sağlam,” diyor ve “Kimlik doğrulama modeli durumdan bağımsız ve yarışma olmadan çalışıyor (binlerce test, sıfır aşma).” Ancak Hagenah, Microsoft’un güvenlik tasarım hedeflerine ulaşması gerektiğini belirtiyor. “Temel sorun, kriptografi, alan veya kimlik doğrulama değil. Şifrelenmiş içeriği korunmasız bir işleme ile render etme süreci zayıf,” diye ekliyor.
Sizce Microsoft, bu kadar önemli bir konuda güvenliği artırmak için daha fazla adım atmalı mı?
