- Microsoft musel v minulém týdnu hasit velký požár
- Největší AI novinka Copilot+ počítačů se ukázala být velkým bezpečnostním rizikem
- Redmondští provedli nápravu, důvěra uživatelů je ale již nahlodána
Microsoft před třemi týdny odhalil budoucnost počítačů nesoucí jméno Copilot+. Pod tímto označením budeme v obchodech vídat stroje s dostatečně výkonnou neurální jednotkou pro akceleraci umělé inteligence přímo na zařízení. Redmondští v rámci operačního systému Windows 11 připravili několik funkcí, které budou umělou inteligenci využívat, ovšem jak se zdá, ta největší z nich je děravá jako ementál.
Sen každého hackera
Hlavní novinkou Copilot+ počítačů se měla stát funkce Recall, která neustále sleduje a zaznamenává dění na obrazovce, čehož může uživatel později využít při vyhledávání dokumentů, textů, obrázků a dalších položek v historii. Ukládání těchto dat probíhá každých 5 sekund lokálně přímo na zařízení, ovšem jak se v uplynulém týdnu ukázalo, Microsoft naprosto selhal v jejich zabezpečení.
https://twitter.com/GossiTheDog/status/1796218726808748367
Podle zjištění se veškerá historie zaznamenaná funkcí Recall ukládá do nešifrované databáze, která je snadno napadnutelná, například malwarem, který by si z ní mohl „vyzobat“ řadu citlivých údajů. Výzkumník Kevin Beaumont, který na chybu v zabezpečení přišel, dokonce podobný malware napsal a snadnou napadnutelnost této funkce si úspěšně ověřil. Microsoft po tomto zjištění hrál chvíli mrtvého brouka, nyní ale již provádí kroky, aby uživatelská data ochránil a aby byl k uživatelům maximálně transparentní.
Recall půjde vypnout hned při instalaci
První oznámenou novinkou je, že Recall bude od počátku volitelnou funkcí – už při instalaci se uživatel může rozhodnout, zda ji bude chtít aktivovat nebo ne. Dosud byla funkce Recall ve výchozím stavu zapnutá, deaktivovat šla až dodatečně.
Zadruhé, Recall půjde aktivovat pouze skrze ověření skrze Windows Hello, a to i v případě zobrazení časové osy a vyhledávání. Bez biometrického ověření by se případný útočník k uloženým datům neměl dostat.
Microsoft také přidal nové vrstvy ochrany dat, které budou opět navázané na funkci Windows Hello. Aby se data uložená funkcí Recall dešifrovala, bude opět zapotřebí autentizace uživatele. Redmondští také zašifrovali databázi vyhledávacího indexu.
Pozitivní informací je, že Microsoft zacelil bezpečnostní díru ve funkci Recall ještě předtím, než se dostala ke koncovým uživatelům – bude totiž dostupná pouze na Copilot+ počítačích, které se začnou prodávat v polovině června. I přes to ale nalezení takto velké zranitelnosti jistě nahlodá důvěru mnoha zákazníků, z nichž mnozí využijí možnosti deaktivovat Recall ještě před prvním spuštěním systému.
