Під впливом критики з боку дослідників безпеки, компанія Microsoft оголосила про суттєві зміни в ключових функціях своїх нових ПК Copilot+. Зміни включають покращене шифрування та нові способи захисту даних користувачів від несанкціонованого доступу.
Минулого місяця корпорація Microsoft з великою помпою анонсувала нову лінійку ПК Copilot+ з фірмовою функцією на основі штучного інтелекту під назвою Microsoft Recall. Ця функція покликана полегшити життя сотням мільйонів користувачів по всьому світу. Але компанія забула врахувати ризики для приватності, пов’язані з практикою збору даних у цьому продукті, а також винахідливість хакерів і фахівців з безпеки, етичну чи іншу.
Результатом став шквал критики щодо цієї функції та пов’язаних з нею ризиків. Фахівці з безпеки, які мали змогу випробувати цю функцію до її випуску, надали детальну критику її дизайну, а Кевін Бомонт, ймовірно, дав найжорстокішу оцінку:
“Я думаю, що це цікава функція, хоча і не обов’язкова, зі специфічною цільовою аудиторією, яка вимагає дуже уважної комунікації, кібербезпеки, інженерії та імплементації. В Copilot+ Recall цього бракує. Видно, що необхідні зусилля для інтеграції всіх цих аспектів не були здійснені належним чином.
[…]
Я вважаю, що вони, можливо, мають намір знищити бренд Copilot через невдалу реалізацію та впровадження. Це може бути вчинок самознищення Microsoft на користь штучного інтелекту, що призводить до реальної шкоди для клієнтів.”
Очевидно, ця критика спровокувала пожежну тривогу в Microsoft, і тепер компанія оголосила про значні зміни в цій функції. У своєму блозі під м’якою назвою «Оновлення функції Recall для ПК Copilot+» віце-президент Microsoft з корпоративних питань Паван Давулурі (Pavan Davuluri), який очолює підрозділ Windows + Devices, визнав цю критику:
“Ми отримали чіткий сигнал про те, що ми можемо полегшити користувачам вибір щодо ввімкнення функції Microsoft Recall на ПК Copilot+ та покращити захист конфіденційності та безпеки. З огляду на це, ми оголошуємо про оновлення, які набудуть чинності до того, як Recall (попередня версія) буде доставлена клієнтам 18 червня”.
Згідно з повідомленням у блозі, у випущеній версії функції будуть реалізовані наступні зміни:
- Процес налаштування комп’ютерів Copilot+ запропонує «більш чіткий вибір щодо збереження знімків за допомогою Recall». За замовчуванням ця функція буде вимкнена і ввімкнеться лише тоді, коли користувач вирішить її увімкнути.
- Увімкнення функції вимагатиме реєстрації в Windows Hello з надійним підтвердженням особи користувача, як правило, за допомогою біометричних даних. Крім того, Microsoft заявила, що «доказ присутності» також буде потрібен для перегляду часової шкали Recall і пошуку в її вмісті.
- Сама база даних отримає додатковий рівень захисту даних, включаючи розшифровку «точно вчасно», яка, за словами Microsoft, буде захищена системою Windows Hello Enhanced Sign-in Security (ESS). База даних пошукового індексу також буде зашифрована.
Ця остання зміна є, мабуть, найцікавішою і повинна запобігти деяким з найбільш жахливих сценаріїв, про які попереджали дослідники безпеки.
Функція дешифрування «вчасно» означає, що знімки Recall будуть захищені другим рівнем шифрування за допомогою Windows Hello Enhanced Sign-in Security (ESS). Навіть якщо зловмисник отримає доступ до бази даних користувача, він не зможе розшифрувати її вміст і отримати доступ до нього, якщо не зможе забезпечити безпечну автентифікацію на пристрої, на якому для цього користувача увімкнено Windows Hello.
У поєднанні всі ці зміни повинні значно ускладнити завдання зловмисникам, які намагаються проникнути в базу даних Recall і отримати доступ до її вмісту. Шкідливе програмне забезпечення для викрадення інформації, якому вдасться отримати доступ до бази даних Microsoft Recall, знайде її вміст зашифрованим і нечитабельним. Навіть адміністратор на комп’ютері з Windows 11 не зможе отримати доступ до вмісту бази даних іншого користувача без його згоди, оскільки він не зможе надати необхідний біометричний доказ.
Іронія полягає в тому, що Редмонд вносить ці зміни в продукт, який навіть не був випущений у вигляді попередньої версії. Вся зворотна інженерія, яку дослідники зробили до цього часу, заснована на розблокуванні доступу до функції за допомогою попередньої збірки Windows і OEM-пакетів, які повинні бути встановлені за допомогою еквівалента вуду для розробників.
І навіть коли ПК Copilot+ надійдуть у продаж 18 червня, ця функція буде доступна лише у вигляді попередньої версії, а офіційна дата релізу поки що не запланована. Ймовірно, це дозволить розробникам Microsoft обробити більше відгуків від крихітної кількості користувачів Windows, які придбали ПК Copilot+ першого покоління.