Durante un evento dedicato ai laptop Surface il mese scorso, Microsoft ha presentato un nuovo strumento chiamato Windows Recall, progettato per poter "recuperare" le attività svolte su un PC, come la navigazione web o i messaggi ricevuti, attraverso delle query di ricerca in linguaggio naturale. Con una funzionalità continua, Recall effettua screenshot di quanto avviene sul PC ogni cinque secondi, memorizzandoli direttamente sul dispositivo. Tuttavia, malgrado l'intento di migliorare l'accessibilità alle informazioni passate, questo sistema sta sollevando preoccupazioni serie riguardo la sicurezza e la privacy.
Secondo i ricercatori di sicurezza, il principale problema risiede nella maniera in cui Windows Recall archivia questi screenshot: in un database SQLite non criptato. Questo rende i dati vulnerabili agli attacchi informatici, consentendo loro di essere facilmente "aspirati" da un attaccante. Alex Hagenah, stratega della sicurezza informatica e hacker etico, ha sviluppato uno strumento chiamato TotalRecall che può automaticamente estrarre e visualizzare tutto ciò che Recall registra su un laptop.
Hagenah afferma che il suo strumento, disponibile su GitHub, è stato creato per dimostrare la vulnerabilità dell'attuale sistema e per incitare Microsoft a implementare dei cambiamenti prima del lancio ufficiale del prodotto. Il funzionamento di TotalRecall è semplice: identifica dove viene salvato il database di Recall sul laptop, ne crea una copia e analizza tutti i dati in esso contenuti. Secondo Hagenah, eseguire l'estrazione dei dati di un intero giorno impiega solo due secondi.
Gli screenshot catturati da Recall possono includere messaggi inviati tramite app di messaggistica crittografata come Signal e WhatsApp e visiti ai siti web, rendendoli una miniera d'oro per hacker o malintenzionati che hanno accesso fisico al dispositivo di una vittima.
Questa facilità di accesso agli schermi catturati e l'assenza di cifratura dei dati sollevano interrogativi significativi sulla sicurezza fisica dei dispositivi e sulla protezione delle informazioni sensibili dell'utente. Microsoft afferma che è possibile disabilitare la funzione di salvataggio degli screenshot o eliminare i dati raccolti in qualsiasi momento. Tuttavia, le critiche non si sono fermate, con molti che paragonano il nuovissimo tool a spyware o stalkerware.
Kevin Beaumont, un altro ricercatore di sicurezza, ha esaminato in profondità quanto informazioni possano essere catturate da Recall e quanto sia facile estrare tali dati. Beaumont sostiene che la Microsoft dovrebbe considerare seriamente di ritirare e rielaborare Recall, rilasciandolo in un momento successivo con le dovute correzioni a tutela della privacy e sicurezza degli utenti. Inoltre, ha costruito un sito web dove il database di Recall può essere caricato e cercato istantaneamente, anche se non ancora pubblicato, per dare tempo a Microsoft di poter intervenire.
Il rischio che Recall venga usato impropriamente è palpabile, soprattutto in contesti lavorativi con politiche di "porta il tuo dispositivo" (BYOD), dove un dipendente scontento potrebbe lasciare l'azienda portando con sé volumi ingenti di dati aziendali salvati sul proprio laptop. Anche l'Ufficio del Commissario per la protezione dei dati del Regno Unito ha chiesto ulteriori dettagli a Microsoft su Recall e sulla sua privacy.
Con varie violazioni della sicurezza già avvenute nei sistemi Microsoft negli ultimi anni, la sicurezza dovrebbe essere una priorità assoluta per l'azienda, come affermato dal CEO Satya Nadella. Al momento della pubblicazione di questo articolo, Microsoft non aveva ancora risposto alle richieste di commento sui dettagli relativi alle funzionalità di sicurezza di Recall.
