Microsoft, Windows 11 için geliştirdiği ve kullanıcıların bilgisayarlarında yaptıkları her şeyi ekran görüntüsüyle kaydeden yeni Recall özelliğini, gizlilik endişeleri nedeniyle isteğe bağlı bir özellik haline getiriyor. Bu değişiklik, birçok güvenlik uzmanı ve gizlilik savunucusunun endişelerini dile getirmesinin ardından geldi.
Recall özelliği, ilk olarak Microsoft’un gelecek Copilot Plus PC‘lerinin bir parçası olarak tanıtıldı. Ancak, özelliğin varsayılan olarak açık olması durumunda ciddi güvenlik sorunlarına yol açabileceği uyarıları yapıldı. Microsoft, bu endişeleri dikkate alarak 18 Haziran’da piyasaya sürülecek olan Copilot Plus PC’lerde Recall’un isteğe bağlı bir özellik olarak sunulacağını açıkladı. Windows başkanı Pavan Davuluri, “Bu özelliği etkinleştirmeyi proaktif olarak seçmezseniz, varsayılan olarak kapalı olacaktır.” dedi.
Recall özelliğinin etkinleştirilmesi için Windows Hello ile kimlik doğrulaması gerekecek, yani yüz tanıma, parmak izi veya PIN kullanılarak doğrulama yapılması zorunlu olacak. Ayrıca, Recall zaman çizelgesine erişmek ve arama yapmak için de kimlik doğrulaması gerekecek, böylece yetkisiz kişilerin zaman çizelgesinde arama yapması engellenecek. Bu ek güvenlik katmanları, Recall’un oluşturduğu anlık görüntülerin korunması için de geçerli olacak. Davuluri, “Windows Hello Enhanced Sign-in Security (ESS) ile korunan ‘anında’ şifre çözme ekliyoruz, böylece Recall anlık görüntüleri yalnızca kullanıcı doğrulama yaptığında şifresi çözülecek ve erişilebilir olacak.” diye ekledi. Ayrıca, arama dizin veritabanının da şifrelenmiş olduğunu belirtti.
Windows 11 Recall özelliği ve gizlilik endişeleri
Recall, bilgisayarınızda gördüğünüz veya yaptığınız neredeyse her şeyin ekran görüntüsünü alarak yerel yapay zeka modelleri kullanıyor ve bu görüntüleri saniyeler içinde arayıp geri getirebilme yeteneği sağlıyor. Recall’daki her şeyin yerel ve özel olarak cihazda kalacak şekilde tasarlandığını, yani verilerin Microsoft’un yapay zeka modellerini eğitmek için kullanılmayacağını belirtti.
Recall’un veri tabanının saklanma ve erişim şekliyle ilgili değişiklikler, siber güvenlik uzmanı Kevin Beaumont’un Microsoft’un yapay zeka destekli özelliğinin verileri düz metin olarak bir veritabanında sakladığını keşfetmesinden sonra geldi. Bu durum, kötü amaçlı yazılım yazarlarının veritabanını ve içeriğini çıkaracak araçlar oluşturmasını kolaylaştırabilirdi. Son günlerde Recall verilerini dışa aktarmayı vaat eden çeşitli araçlar ortaya çıktı. TotalRecall, Recall veritabanını çıkararak hangi metnin saklandığını ve Microsoft’un özelliğinin ürettiği ekran görüntülerini kolayca görmenizi sağlıyor. NetExec ise Recall klasörlerine erişip ekran görüntülerini görüntülemenizi sağlayacak bir Recall modülü geliştirdi. Bu araçların tümü, Recall veritabanında tam şifreleme veya koruma olmamasından dolayı mümkün olabiliyordu.
Microsoft, Recall özelliğini, Azure bulut saldırılarından sonra yazılım güvenliğini yeniden yapılandırmak için oluşturulan yeni Secure Future Initiative (SFI) kapsamında geliştirdi. Şirket, son birkaç yılda birçok siber güvenlik olayı yaşadı ve SFI, güvenliği her şeyin üstünde tutmayı amaçlıyor. Microsoft CEO’su Satya Nadella, çalışanlarına güvenliği “en öncelikli” hale getirmeleri gerektiğini belirterek, “Güvenlik ve başka bir öncelik arasında bir tercih yapmanız gerektiğinde, yanıtınız açık: Güvenliği tercih edin.” dedi.
Davuluri, Microsoft’un SFI ilkelerine atıfta bulunarak, şirketin Recall güvenliğini iyileştirmek için harekete geçtiğini belirtti. Ancak, bu sorunların çoğunlukla güvenlik araştırmacıları tarafından fark edilmesi, Microsoft’un kendi güvenlik ilkelerinden ziyade bu araştırmacıların katkıları sayesinde olduğu görülüyor.
Recall, yalnızca yeni Copilot Plus PC’lerde kullanılabilir olacak ve bu PC’ler, gelişmiş firmware güvenlik önlemleri ve kişisel veri hırsızlığına karşı koruma sağlayan Pluton güvenlik işlemcisi ile tasarlandı. Davuluri, “Her zaman olduğu gibi, müşterilerimizden, geliştiricilerden ve işletmelerden öğrenmeye ve onlardan gelen geri bildirimleri dinlemeye devam edeceğiz.” dedi. “Bu yeni yetenekleri ve deneyimleri, gizlilik, güvenlik ve emniyeti ön planda tutarak müşterilerimiz için geliştirmeye devam edeceğiz. Geri bildirimlerini bizimle paylaşan müşterilerimize minnettarız.”