Again and again and again... Microsoft.
Satya Nadella írása az összes Microsoft alkalmazotthoz idén május 3-én került ki a hivatalos Microsoft blogra. Ebben nyomatékosan felszólítja a cég alkalmazottait: ha választaniuk kell a biztonság és bármilyen más prioritás között, akkor első a security, minden más várhat.
Nem kellett eltelnie két hétnek és Nadella bejelentette a Recall nevű funkciót, szép nagy, széles mosollyal. Az eszköz végestelen végig képernyőmentéseket csinál a tevékenységünkről, majd ezeket egy offline AI az adott számítógépen feldolgozza és kereshetővé teszi (ezért kell az NPU). (Igen, a Microsoft azért követeli meg a Copilot használatához az NPU-t, hogy aztán a saját lokális AI-ját futtassa.)
Nos, az adatok mentése nem korlátozódik a képekre, pontosn időponttal rögzítésre kerül minden, amit a számítógépen csinálunk - úgy értem, egy lokális adatbázisba is. SQLite-ba...
Nos, az információk (helye a user appdata) "védelmét" a következőképpen képzelik el a Microsoftnál: a screenshotok kiterjesztés nélkül kerülnek mentésre, ami első pillantásra így blobnak tűnik, de hozzájuk adva a .jpg kiterjesztést, máris minden kép láthatóvá válik. Igen, az online vásárláskor megadott bankkártya adatok is, a pillanatra felvillantott jelszó adatok is. Az adatbázis sincs titkosítva, így egy bármilyen SQL viewerrel minden megnézhető benne... Ajánlják a bitlocker bekapcsolását - éppen csak a Windows Home verziókban nem érhető el e funkció, plusz az csak akkor véd, ha éppen nincs user belépve a rendszerbe...
Mindezeken felül szövegesen is tárolva van, mikor mit indítottunk, mit zártunk be.
Gyakorlatilag ha egy támadó bejut a rendszerbe, akkor csak azt nem tudja meg a userről, amit nem akar - nyilván a security mellett privacy aggályok is felmerülnek.
Ajánlom Satyának, szaladjon neki még egyszer ennek a security témának, mert elsőre nem sikerült megugrani a nagyon alacsonyra tett lécet. Már csak azért is, mert már létezik python program, ami kimazsoláz mindent a Recallból, van Metasploit modul, valamint már távolról is ki lehet ezeket az információkat nyerni.
Mikor volt szó arról, hogy a Copilot nem a Microsoft saját MI-jét fogja futtatni, vagy legalább lehetőséget fog biztosítani más MI futtatására? Ha sosem, akkor mi a panasz tárgya? 
