A Microsoft explica como está abordando a segurança e a privacidade para Recall.

A condenação da funcionalidade Recall da Microsoft para PCs com Copilot+ AI foi rápida e contundente. Embora seu propósito seja permitir encontrar tudo o que você já fez no seu PC, também envolve a captura constante de screenshots do seu PC, e críticos perceberam que as informações não estavam sendo armazenadas de forma segura. A Microsoft acabou adiando o lançamento para os testadores beta do Windows Insider e, em junho, anunciou medidas de segurança mais rigorosas: tornar o Recall optativo por padrão; exigir autenticação biométrica do Windows Hello; e criptografar o banco de dados de screenshots.

Hoje, antecipando o lançamento iminente da próxima grande atualização do Windows 11 em novembro, a Microsoft ofereceu mais detalhes sobre as medidas de segurança e privacidade do Recall. A empresa afirma que as capturas de tela e dados relacionados do Recall serão protegidos por Enclaves VBS, que descreve como um “ambiente de execução confiável baseado em software (TEE) dentro de um aplicativo hospedeiro”. Os usuários terão que ativar o Recall durante a configuração do Windows e também poderão remover completamente a funcionalidade. A Microsoft também reiterou que a criptografia será uma parte importante de toda a experiência do Recall e que usará o Windows Hello para interagir com todos os aspectos da funcionalidade, incluindo a alteração de configurações.

“O Recall também protege contra malware por meio de medidas de limitação de taxa e anti-hammering”, escreveu David Weston, vice-presidente de segurança de sistema operacional e empresa da Microsoft, em um post de blog hoje. “O Recall atualmente suporta PIN apenas como método de fallback após o Recall ser configurado, e isso é para evitar a perda de dados se um sensor seguro for danificado.”

Quanto aos controles de privacidade, Weston reitera que “você está sempre no controle”. Por padrão, o Recall não salvará dados de navegação privada nos navegadores suportados, como Edge, Chrome e Firefox. A funcionalidade também terá filtragem de conteúdo sensível ativada por padrão para evitar que informações como senhas e números de cartão de crédito sejam armazenadas.

A Microsoft afirma que o Recall também foi revisado por um fornecedor terceirizado não identificado, que realizou um teste de penetração e uma revisão de design de segurança. A equipe de Pesquisa Ofensiva e Engenharia de Segurança da Microsoft (MORSE) também testou a funcionalidade por meses.

Dada a reação instantânea, não é surpreendente ver a Microsoft sendo extra cautelosa com o lançamento eventual do Recall. A verdadeira questão é como a empresa não previu as críticas iniciais, que incluíam o banco de dados do Recall sendo facilmente acessível a partir de outras contas locais. Graças ao uso de criptografia e segurança adicional, isso não deve mais ser um problema, mas isso me faz questionar o que mais a Microsoft deixou passar no início.

Redação Confraria Tech.

Referências:
Microsoft explains how it’s tackling security and privacy for Recall