Nova vulnerabilidade no recall da microsoft expõe dados de usuários em pcs copilot+
Uma nova falha de segurança foi descoberta na funcionalidade Recall dos PCs Copilot+ da Microsoft, permitindo que malwares acessem dados sensíveis de usuários mesmo após as recentes melhorias de privacidade. A exploração, demonstrada por um pesquisador, levanta sérias preocupações para empresas e usuários sobre a proteção de informações confidenciais e a conformidade com leis de proteção de dados como a LGPD no Brasil.
A funcionalidade Recall, um dos pilares dos novos PCs Copilot+ da Microsoft, está novamente sob escrutínio devido a uma nova vulnerabilidade que permite o acesso a dados sensíveis dos usuários. Apesar dos esforços da Microsoft para reforçar as proteções de privacidade, um pesquisador demonstrou que malwares podem explorar a autenticação do Windows Hello para extrair informações armazenadas pelo Recall, reacendendo debates sobre a segurança de recursos de inteligência artificial que registram a atividade do usuário.
O que mudou na prática
O Recall, projetado para oferecer uma “memória fotográfica” do que o usuário faz no PC, captura periodicamente capturas de tela da atividade, indexa o conteúdo com IA e armazena-o localmente no dispositivo. A ideia é permitir que os usuários pesquisem o histórico de suas atividades usando linguagem natural. Após críticas iniciais que o classificaram como um “pesadelo de privacidade”, a Microsoft implementou medidas de segurança, incluindo um cofre de dados seguro, autenticação Windows Hello e um enclave de segurança baseado em virtualização (VBS). A empresa afirmou que essas proteções impediriam o acesso de malwares aos dados do Recall, mesmo que tentassem explorar a autenticação do usuário.
No entanto, o pesquisador de segurança cibernética Alexander Hagenah desafiou essas afirmações com uma nova ferramenta chamada TotalRecall Reloaded. Hagenah demonstrou que a ferramenta pode acionar um prompt do Windows Hello e, uma vez que o usuário autentica, extrair todos os dados armazenados pelo Recall. Ele argumenta que isso mostra que malwares ainda podem “acompanhar” a autenticação legítima, algo que a Microsoft havia declarado que seu redesenho bloquearia. A Microsoft, por sua vez, afirma que o comportamento está alinhado com as proteções pretendidas do sistema e não representa uma falha de segurança.
O Recall registra tudo que aparece na tela, desde textos digitados até mensagens, documentos e histórico de navegação. Embora a Microsoft tenha implementado filtros para pular informações sensíveis como números de cartão de crédito e senhas, pesquisadores descobriram que esses filtros falham em capturar conteúdo sensível o suficiente, levando a um vazamento significativo ao longo do tempo. Aplicativos como Signal e o navegador Brave já implementaram recursos de segurança de tela para bloquear o Recall de capturar suas janelas.
Impacto e por que importa
Para empresas brasileiras que dependem de tecnologias Microsoft e consideram a adoção de PCs Copilot+, esta vulnerabilidade representa um risco significativo. A base de dados do Recall, mesmo criptografada em repouso e armazenada localmente, pode se tornar uma “mina de ouro” para atacantes caso um sistema seja comprometido. Informações como senhas digitadas antes do preenchimento automático do gerenciador de senhas, mensagens privadas, detalhes bancários, documentos confidenciais e registros médicos podem ser indexadas e tornadas pesquisáveis, expondo a empresa a graves violações de dados.
No contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil, a exposição de dados pessoais por meio de uma vulnerabilidade como esta pode resultar em multas substanciais, que podem chegar a 2% do faturamento anual da empresa no Brasil, limitadas a R$ 50 milhões por infração. Além das sanções financeiras, há o dano reputacional e a perda de confiança dos clientes, que podem ser ainda mais custosos. A LGPD exige que as empresas implementem medidas de segurança técnicas e administrativas para proteger os dados pessoais. Uma falha em um recurso central do sistema operacional pode complicar a conformidade, exigindo avaliações de risco rigorosas e, possivelmente, a desativação do Recall em ambientes corporativos.
Além disso, a controvérsia em torno do Recall alimenta o debate mais amplo sobre a segurança e a privacidade da IA. À medida que mais recursos de IA são integrados aos sistemas operacionais e aplicativos, a capacidade de controlar e proteger os dados que essas IAs processam torna-se fundamental. A confiança na tecnologia é essencial para sua adoção, e incidentes como este podem erodir essa confiança, levando a uma maior cautela na implementação de soluções baseadas em IA.
O que monitorar e próximos passos
Empresas brasileiras devem monitorar de perto os desenvolvimentos relacionados à segurança do Recall e outras funcionalidades de IA em sistemas operacionais. É crucial que as equipes de TI e segurança da informação avaliem os riscos associados à ativação do Recall em seus ambientes. As seguintes ações são recomendadas:
- Avaliação de Risco: Realizar uma avaliação de risco detalhada sobre a ativação do Recall em PCs Copilot+, considerando o tipo de dados processados e o impacto de uma possível violação.
- Políticas de Uso: Desenvolver e implementar políticas claras sobre o uso de recursos de IA que registram a atividade do usuário, incluindo a decisão de desativar o Recall em dispositivos corporativos, especialmente aqueles que lidam com informações sensíveis.
- Atualizações e Patches: Manter todos os sistemas operacionais e softwares atualizados com os patches de segurança mais recentes da Microsoft para mitigar vulnerabilidades conhecidas.
- Conformidade com a LGPD: Revisar as práticas de proteção de dados para garantir que a empresa esteja em conformidade com a LGPD, considerando os riscos introduzidos por novas tecnologias como o Recall. Isso pode incluir a necessidade de reavaliar as avaliações de impacto à proteção de dados (DPIAs).
- Treinamento de Usuários: Conscientizar os funcionários sobre os riscos de privacidade associados a recursos de IA e as melhores práticas para proteger informações confidenciais.
A Microsoft continuará a ser pressionada a aprimorar a segurança e a transparência de recursos como o Recall. A comunidade de segurança cibernética também continuará a testar e expor potenciais falhas, o que é um processo essencial para o amadurecimento dessas tecnologias. A capacidade de equilibrar inovação com segurança e privacidade será um desafio contínuo para as big techs e um ponto crítico de atenção para as empresas que as utilizam.
Fontes consultadas
- Microsoft's Recall feature faces new privacy concerns after fresh exploit - TweakTown · TweakTown
- Microsoft's Recall Saga: Continuous Coverage and Latest News | nGuard · nGuard
- The Quiet Microsoft Update That Has Privacy Experts Concerned - Medium · Medium
- Privacy and control over your Recall experience - Microsoft Support · Microsoft Support
- Brazil Issues First Fine For Data Protection Breach - Forbes · Forbes
- Brazil Passes Landmark Privacy Law: The General Law for the Protection of Privacy · Osano