Microsoft ha annunciato venerdì che disabiliterà di default la sua controversa funzionalità basata sull’intelligenza artificiale (IA) chiamata Recall e la renderà facoltativa.
Recall: perché Microsoft ha fatto marcia indietro su questa controversa funzione
Recall, attualmente in fase di anteprima e disponibile esclusivamente sui PC con preinstallato Copilot+ a partire dal 18 giugno 2024, funziona come una “timeline visiva esplorabile” catturando screenshot di ciò che appare sugli schermi degli utenti ogni cinque secondi, che vengono successivamente analizzati e interpretati per far emergere informazioni rilevanti.
Ma la funzionalità, concepita per servire come una sorta di memoria fotografica abilitata dall’IA, ha subito incontrato una reazione negativa da parte della comunità della sicurezza e della privacy, che ha criticato l’azienda per non aver pensato abbastanza e implementato adeguate misure di sicurezza che potessero impedire agli attori malintenzionati di ottenere facilmente una finestra sulla vita digitale delle vittime.
Quali sono i problemi a livello di privacy che può causare la funzione Recall della casa di Redmond
Le informazioni registrate potrebbero includere screenshot di documenti, email o messaggi contenenti dettagli sensibili che potrebbero essere stati cancellati o condivisi temporaneamente utilizzando formati di messaggistica istantanea a scomparsa o autodistruzione; qualcosa di analogo è capitato di recente con Apple, dove apparivano foto e video scomparsi di diversi anni prima.
Andy Greenberg di WIRED ha definito Recall come uno “spyware preinstallato non richiesto” integrato nei nuovi computer Windows; tra le altre cose Windows Central ha riportato che Microsoft è stata “eccessivamente segreta” riguardo lo sviluppo di Windows Recall e ha scelto di non testarlo pubblicamente.
Come Microsoft si è difesa dalle accuse
Nel tentativo di contrastare l’ondata di critiche, Microsoft ha affermato che gli utenti hanno il controllo completo sull’intera esperienza di Recall e che ha lanciato la funzionalità in anteprima per raccogliere feedback dai clienti.
Tra i cambiamenti sostanziali introdotti alla funzionalità vi sono aggiornamenti di sicurezza e un nuovo processo di configurazione per abilitarla, dando agli utenti la possibilità di rinunciare completamente al salvataggio periodico degli screenshot tramite Recall.
Le modifiche alla sicurezza richiedono inoltre agli utenti di registrarsi per la scansione biometrica di Windows Hello per abilitare Recall, con la prova di presenza necessaria per visualizzare la timeline ed eseguire ricerche.
Oltre a crittografare il database dell’indice di ricerca (che in precedenza era archiviato in un database SQLite non crittografato), il colosso tecnologico ha notato che gli snapshot di Recall saranno decrittografati e accessibili solo previa autenticazione dell’utente.
“I PC Copilot+ verranno lanciati con la decrittografia ‘just in time’ protetta da Windows Hello Enhanced Sign-in Security (ESS), quindi gli snapshot di Recall saranno decrittografati e accessibili solo quando l’utente si autentica“, ha affermato Pavan Davuluri, vicepresidente corporate di Microsoft per Windows + Devices.
“Questo aggiunge un ulteriore livello di protezione ai dati di Recall oltre ad altre funzionalità di sicurezza di Windows abilitate di default come SmartScreen e Defender, che utilizzano tecniche avanzate di IA per aiutare a prevenire che il malware acceda a dati come Recall.”
Microsoft ha inoltre ribadito che gli snapshot di Recall sono archiviati e elaborati localmente sul dispositivo e che non vengono condivisi con altre aziende o applicazioni; ha anche detto che gli utenti possono mettere in pausa, filtrare e cancellare ciò che è stato salvato in qualsiasi momento.
Il dubbio (legittimo dell’utenza), resta infatti nella veridicità delle affermazioni da parte di casa Microsoft.
Microsoft Recall in ambito aziendale
Per gli utenti su dispositivi di lavoro gestiti in ambienti aziendali, gli amministratori IT hanno il controllo per disabilitare Recall, anche se non possono abilitarlo da soli; Microsoft ha sottolineato che la scelta spetta esclusivamente agli utenti.
“Vedrai Recall aggiunto alla barra delle applicazioni quando raggiungi il tuo desktop“, ha detto Davuluri. “Avrai un’icona degli snapshot di Recall nella barra di sistema che ti avvisa quando Windows sta salvando snapshot.”
“Si scopre che parlare funziona“, ha detto il ricercatore di sicurezza Kevin Beaumont, che è stato un critico vocale dell’implementazione originale di Recall. “Ovviamente ci saranno dei dettagli critici – potenzialmente importanti – ma ci sono alcuni elementi positivi qui. Microsoft deve impegnarsi a non cercare di indurre gli utenti ad abilitarlo in futuro.”
“Penso che, complessivamente, avere una scelta sull’opt-in nei sistemi domestici salverà molte persone da problemi di sicurezza in futuro. Non avrebbe mai dovuto essere abilitato di default.”
Microsoft fa dietro front
La retromarcia di Microsoft arriva in mezzo a una serie di debacle di sicurezza che l’azienda ha affrontato negli ultimi anni a causa di attori statali russi e cinesi, spingendo l’azienda a dare la priorità alla sicurezza sopra ogni altra cosa come parte della sua Secure Future Initiative (SFI).
“Se ti trovi di fronte al compromesso tra sicurezza e un’altra priorità, la tua risposta è chiara: fai sicurezza“, ha detto il CEO di Microsoft Satya Nadella in un memo inviato ai suoi dipendenti il mese scorso. “In alcuni casi, questo significherà dare priorità alla sicurezza rispetto ad altre cose che facciamo, come il rilascio di nuove funzionalità o il supporto continuo per i sistemi legacy.”