【安全爭議】Windows新功能推出即揭私隱問題 Microsoft緊急修改啟動設定
早前 Microsoft 宣布為 Windows 11 推出新 AI 功能「Recall」,讓用家可以用母語搜尋在電腦上進行過的一切活動,不過新功能接連被揭存在網絡安全漏洞,迫於公眾壓力,Microsoft 唯有停止將 Recall 作為預設開啟功能,改為要用家手動設定才可使用。過度自信,未必是好事。
要使用 Windows 11 新推出的 Recall 功能,用家需要一部 Copilot + PC,在硬件配置方面需要有 Snapdragon X 處理器,最少 16GB 記憶體及 256GB 儲存空間。Recall 運作原理簡單來說是系統會每隔 5 秒用截圖形式記錄用家的活動,再利用 OCR 及人工智能,分析圖像內容並進行歸類。之後用家可以通過自然語言方式搜尋指定內容,而可記錄的活動包括瀏覽歷史、圖文內容等。
兩種方法輕易存取數據庫
雖然這種猶如 ChatGPT 的聊天搜尋方式的原意極好,但因為所有記錄都會儲存在電腦內,令人擔心一旦電腦被入侵,黑客將可取得更詳盡的用家私隱,例如各種帳戶登入資料或電郵內容。Microsoft 當時肯定地指「屏幕截圖」不會上傳雲端分析,亦會在本地得到足夠保護,叫用家可以放心使用,更將新功能設定為預設開啟,信心十足。
不過,很快便有安全研究人員發現多種可用來讀取 Windows Recall 資料的方法,當中以 Google Project Zero 研究員 James Forshaw 提供的證據最震撼,他在博客描述了兩種繞過管理員權限要求的不同方法,第一種方法利用了控制列表的異常,讓他可以模擬 Windows 系統內名為 AIXHost.exe 的程序,繼而訪問原本受限的數據庫。另一種方法就更簡單,黑客只須在感染電腦後取得與用家相同的權限,便可以簡單地重寫目標電腦上的訪問控制列表,從而將自己的訪問權限提升到可存取完整的數據庫。這兩種方法都證明 Recall「截圖」在 Windows 上的保護性很脆弱。
Microsoft 重新調整部分功能
有見外界反應強烈,Microsoft 宣布修改 Recall 啟用程序,不再以預設形式默認啟動,用家必須主動經過多重確認才能開啟使用。另外,Microsoft 亦表示會增加額外的資料保護層,包括以 Windows Hello 增強登入安全性 (ESS) 保護,用家必須進行身分驗證才能解密及讀取「截圖」數據,希望能挽回用家的信心。