Agency FWD
Tecnologia 18 de junho de 2026 às 13:00 · Redação FWD

Nova vulnerabilidade no recall da microsoft expõe dados de usuários em pcs copilot+

Uma nova falha de segurança foi descoberta na funcionalidade Recall dos PCs Copilot+ da Microsoft, permitindo que malwares acessem dados sensíveis de usuários mesmo após as recentes melhorias de privacidade. A exploração, demonstrada por um pesquisador, levanta sérias preocupações para empresas e usuários sobre a proteção de informações confidenciais e a conformidade com leis de proteção de dados como a LGPD no Brasil.

Nova vulnerabilidade no recall da microsoft expõe dados de usuários em pcs copilot+
Foto: Nicolas Foster no Pexels

A funcionalidade Recall, um dos pilares dos novos PCs Copilot+ da Microsoft, está novamente sob escrutínio devido a uma nova vulnerabilidade que permite o acesso a dados sensíveis dos usuários. Apesar dos esforços da Microsoft para reforçar as proteções de privacidade, um pesquisador demonstrou que malwares podem explorar a autenticação do Windows Hello para extrair informações armazenadas pelo Recall, reacendendo debates sobre a segurança de recursos de inteligência artificial que registram a atividade do usuário.

O que mudou na prática

O Recall, projetado para oferecer uma “memória fotográfica” do que o usuário faz no PC, captura periodicamente capturas de tela da atividade, indexa o conteúdo com IA e armazena-o localmente no dispositivo. A ideia é permitir que os usuários pesquisem o histórico de suas atividades usando linguagem natural. Após críticas iniciais que o classificaram como um “pesadelo de privacidade”, a Microsoft implementou medidas de segurança, incluindo um cofre de dados seguro, autenticação Windows Hello e um enclave de segurança baseado em virtualização (VBS). A empresa afirmou que essas proteções impediriam o acesso de malwares aos dados do Recall, mesmo que tentassem explorar a autenticação do usuário.

No entanto, o pesquisador de segurança cibernética Alexander Hagenah desafiou essas afirmações com uma nova ferramenta chamada TotalRecall Reloaded. Hagenah demonstrou que a ferramenta pode acionar um prompt do Windows Hello e, uma vez que o usuário autentica, extrair todos os dados armazenados pelo Recall. Ele argumenta que isso mostra que malwares ainda podem “acompanhar” a autenticação legítima, algo que a Microsoft havia declarado que seu redesenho bloquearia. A Microsoft, por sua vez, afirma que o comportamento está alinhado com as proteções pretendidas do sistema e não representa uma falha de segurança.

O Recall registra tudo que aparece na tela, desde textos digitados até mensagens, documentos e histórico de navegação. Embora a Microsoft tenha implementado filtros para pular informações sensíveis como números de cartão de crédito e senhas, pesquisadores descobriram que esses filtros falham em capturar conteúdo sensível o suficiente, levando a um vazamento significativo ao longo do tempo. Aplicativos como Signal e o navegador Brave já implementaram recursos de segurança de tela para bloquear o Recall de capturar suas janelas.

Impacto e por que importa

Para empresas brasileiras que dependem de tecnologias Microsoft e consideram a adoção de PCs Copilot+, esta vulnerabilidade representa um risco significativo. A base de dados do Recall, mesmo criptografada em repouso e armazenada localmente, pode se tornar uma “mina de ouro” para atacantes caso um sistema seja comprometido. Informações como senhas digitadas antes do preenchimento automático do gerenciador de senhas, mensagens privadas, detalhes bancários, documentos confidenciais e registros médicos podem ser indexadas e tornadas pesquisáveis, expondo a empresa a graves violações de dados.

No contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil, a exposição de dados pessoais por meio de uma vulnerabilidade como esta pode resultar em multas substanciais, que podem chegar a 2% do faturamento anual da empresa no Brasil, limitadas a R$ 50 milhões por infração. Além das sanções financeiras, há o dano reputacional e a perda de confiança dos clientes, que podem ser ainda mais custosos. A LGPD exige que as empresas implementem medidas de segurança técnicas e administrativas para proteger os dados pessoais. Uma falha em um recurso central do sistema operacional pode complicar a conformidade, exigindo avaliações de risco rigorosas e, possivelmente, a desativação do Recall em ambientes corporativos.

Além disso, a controvérsia em torno do Recall alimenta o debate mais amplo sobre a segurança e a privacidade da IA. À medida que mais recursos de IA são integrados aos sistemas operacionais e aplicativos, a capacidade de controlar e proteger os dados que essas IAs processam torna-se fundamental. A confiança na tecnologia é essencial para sua adoção, e incidentes como este podem erodir essa confiança, levando a uma maior cautela na implementação de soluções baseadas em IA.

O que monitorar e próximos passos

Empresas brasileiras devem monitorar de perto os desenvolvimentos relacionados à segurança do Recall e outras funcionalidades de IA em sistemas operacionais. É crucial que as equipes de TI e segurança da informação avaliem os riscos associados à ativação do Recall em seus ambientes. As seguintes ações são recomendadas:

  • Avaliação de Risco: Realizar uma avaliação de risco detalhada sobre a ativação do Recall em PCs Copilot+, considerando o tipo de dados processados e o impacto de uma possível violação.
  • Políticas de Uso: Desenvolver e implementar políticas claras sobre o uso de recursos de IA que registram a atividade do usuário, incluindo a decisão de desativar o Recall em dispositivos corporativos, especialmente aqueles que lidam com informações sensíveis.
  • Atualizações e Patches: Manter todos os sistemas operacionais e softwares atualizados com os patches de segurança mais recentes da Microsoft para mitigar vulnerabilidades conhecidas.
  • Conformidade com a LGPD: Revisar as práticas de proteção de dados para garantir que a empresa esteja em conformidade com a LGPD, considerando os riscos introduzidos por novas tecnologias como o Recall. Isso pode incluir a necessidade de reavaliar as avaliações de impacto à proteção de dados (DPIAs).
  • Treinamento de Usuários: Conscientizar os funcionários sobre os riscos de privacidade associados a recursos de IA e as melhores práticas para proteger informações confidenciais.

A Microsoft continuará a ser pressionada a aprimorar a segurança e a transparência de recursos como o Recall. A comunidade de segurança cibernética também continuará a testar e expor potenciais falhas, o que é um processo essencial para o amadurecimento dessas tecnologias. A capacidade de equilibrar inovação com segurança e privacidade será um desafio contínuo para as big techs e um ponto crítico de atenção para as empresas que as utilizam.

Fontes consultadas

#microsoft#recall#copilot-plus-pcs#vulnerabilidade#privacidade#seguranca-da-informacao

Mais em Tecnologia

Tecnologia 30 de jun. de 2026 · Redação FWD

Queda de performance em modelos de IA da OpenAI e Anthropic preocupa empresas

Empresas brasileiras que utilizam modelos de inteligência artificial da OpenAI e Anthropic enfrentam desafios com a recente queda de performance observada em ferramentas como GPT-5.6-sol e Claude Opus 4.8. A degradação afeta a eficiência operacional e a confiabilidade de aplicações críticas, com especulações sobre possíveis cortes de custos por parte das big techs, exigindo reavaliação de estratégias e orçamentos de IA.

Tecnologia 30 de jun. de 2026 · Redação FWD

TSMC amplia aumento de preços para todos os nós avançados de chips, elevando custos globais de tecnologia

A Taiwan Semiconductor Manufacturing Co. (TSMC), maior fabricante de chips por contrato do mundo, notificou clientes sobre aumentos de preços que se estendem por quase todo o seu portfólio de fabricação avançada. As elevações, que variam de 5% a 10%, abrangem não apenas a tecnologia de 3 nanômetros, mas também nós mais antigos como 5nm e 7nm, impactando cerca de 74% da receita de wafers da empresa e ameaçando margens de lucro em toda a cadeia de suprimentos de tecnologia.

Tecnologia 29 de jun. de 2026 · Redação FWD

TSMC e Winbond se unem para fortalecer cadeia de DRAM para chips de IA

A Taiwan Semiconductor Manufacturing Company (TSMC) e a Winbond Electronics anunciaram uma parceria estratégica para reconstruir a cadeia de suprimentos local de DRAM. A colaboração visa reduzir a dependência de grandes fabricantes de memória e integrar a tecnologia Wafer-on-Wafer (WoW) da Winbond, essencial para chips de inteligência artificial, prometendo maior desempenho e eficiência energética.