Microsoft Recall maakt slechte start op het gebied van beveiliging

Het begon zo goed voor Microsoft, misschien wel iets te goed. Ze bleven opscheppen over de verbeteringen ten opzichte van de MacBook Air en welke software allemaal mogelijk werd dankzij de onderliggende Neural Processing Unit (NPU). Afgelopen vrijdag werd echter al duidelijk dat de app Recall, die werd beschouwd als een echte AI-tool, gewoon op een laptop kan draaien met minder hoge hardware-specificaties dan die van de Copilot+ PC's (iets dat normaal gesproken een soort combi-deal moest zijn voor Microsoft). Hoewel dat misschien meer zegt over de app Recall dan over de potentie van de nieuwe golf AI PC's, zoals deze worden genoemd, was het op z'n minst opmerkelijk. Nu blijkt echter dat dezelfde tool ook nog eens niet goed beveiligd is.

Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.

Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.

HT detective pic.twitter.com/Njv2C9myxQ

— Kevin Beaumont (@GossiTheDog) May 30, 2024

Wat doet Recall ook alweer?

Computers worden na verloop van tijd een zooitje, en dan heb je nog wel eens de neiging om bestanden of bepaalde informatie te vergeten. Denk aan een bepaalde PowerPoint-slide of een gesprek met je collega. De app Recall is bedoeld om al deze digitale spullen terug te vinden. Het doet dit door continu "mee te kijken" naar wat je allemaal uitspookt op je computer, om daar vervolgens een gestructureerd verslag van te maken. Vervolgens kun je dat doorzoeken in een soort digitale tijdlijn. Klinkt enorm handig, maar dan moet je wel een deel van je privacy afstaan, hoor ik je denken. Dat klopt, hoewel de app niets registreert wanneer je een privévenster hebt geopend of auteursrechtelijk beschermd materiaal bekijkt. Maar het blijft veel informatie, helemaal doordat de app automatisch aan staat.

Maar dan mag je er toch op zijn minst vanuit gaan dat deze informatie achter slot en grendel wordt opgeslagen. Toch? Nou, dat blijkt nu toch niet echt het geval te zijn, zoals Kevin Beaumont op zijn blog laat weten: "Om de paar seconden worden er screenshots gemaakt. Deze worden automatisch door Azure AI op je apparaat OCR-gescand en in een database in de gebruikersmap opgeslagen." Het probleem ontstaat wanneer blijkt dat deze informatie kennelijk onversleuteld wordt opgeslagen en dus gewoon uitleesbaar is. Als kwaadwillenden toegang zouden krijgen hiertoe, zouden ze dus aardig veel over je te weten kunnen komen. Meer dan wanneer zij ieder programma individueel zouden moeten hacken. In feite wordt het leven van een hacker hierdoor dus iets vereenvoudigd.

Waarom doet Microsoft dit?

Je zou misschien denken dat een bedrijf als Microsoft wel beter zou moeten weten of dergelijke technische aspecten eerst zelf bekend zou maken, in plaats van te wachten tot anderen hierdoor verrast worden. Het bleek tenslotte niet bijzonder moeilijk om dit te achterhalen. Misschien is dit dan ook wel een symptoom van de haast waarmee Microsoft zijn AI-producten naar buiten brengt. De samenwerking met OpenAI (en daarmee ChatGPT) zag Microsoft ongetwijfeld als kans om een voorsprong te krijgen in deze race, en integreerde AI razendsnel in veel producten en diensten, onder de naam Copilot. Het blijft echter een beetje de vraag of hun gebruikers daar wel echt op zaten te wachten.

Met de aankondiging van de Copilot+ PC's zou Microsoft dus maar al te graag het toonaangevende bedrijf willen worden als het aankomt op AI, maar de praktijk zal moeten uitwijzen of dat wel de beste strategie zal zijn - of dat ze met overhaast of in overmoed hebben gehandeld. Terwijl Microsoft momenteel volop investeert in betere hardware, zien we tegelijk een groei aan cloud-software, dat dus via het internet werkt. Als we dan toch dure hardware nodig hebben, dan is het wel voor speciale AI-software. Maar als die software in de praktijk toch niet voldoende wordt gebruikt, dan zou dat een pijnlijke misrekening van Microsoft zijn.

Lees meer nieuws over Microsoft en mis niets met onze nieuwe app.