Hagenah dice que un atacante puede obtener una gran cantidad de información sobre su objetivo, incluida información sobre sus correos electrónicos, conversaciones personales y cualquier información confidencial capturada por Recall.

El trabajo de Hagenah se basa en los hallazgos del investigador de ciberseguridad Kevin Beaumont, quien detallada cuánta información captura la recuperación y lo fácil que puede ser extraerlo. Beaumont también dice que creó un sitio web donde se puede cargar y buscar instantáneamente una base de datos de Recall. Dice que aún no ha lanzado el sitio para darle tiempo a Microsoft para cambiar potencialmente el sistema. «Los troyanos InfoStealer, que roban automáticamente nombres de usuarios y contraseñas, han sido un gran problema durante más de una década; ahora se pueden modificar fácilmente para admitir Recall», escribe Beaumont.

La crítica se produce cuando los ataques a los sistemas de Microsoft han provocado varias violaciones de datos del gobierno de EE. UU.; Nadella dijo que la seguridad debería ser La “máxima prioridad” de Microsoft.” Microsoft no respondió a la solicitud de WIRED de comentar sobre las características de seguridad de Recall en el momento de la publicación.

Recuperar páginas de privacidad digamos que es posible deshabilitar el guardado de capturas de pantalla (desactivando efectivamente la recuperación), pausar el sistema temporalmente, filtrar las aplicaciones donde se toman las capturas de pantalla y eliminar lo que se recopila en cualquier momento. La recuperación se ejecuta en la propia computadora portátil, almacena los datos que captura en el dispositivo y no envía esta información a los servidores de Microsoft. Hagenah dice que esta afirmación parece ser cierta, y no hay señales de que los datos se hayan enviado a Microsoft.

Microsoft al menos es consciente de algunos de los posibles problemas relacionados con la privacidad y la seguridad de Recall: sus páginas de ayuda dicen que el sistema no realiza ninguna moderación de contenido en las imágenes que guarda. Esto significa, afirma Microsoft en la guía, que no “ocultará información como contraseñas o números de cuentas financieras”. Los investigadores de seguridad ya han logrado extraer contraseñas de Recall.

La base de datos principal de Recall se almacena en el directorio del sistema de la computadora portátil y, si bien necesita derechos de administrador para acceder a ella, los ataques de escalada de privilegios han existido durante años, lo que teóricamente hace posible que un atacante obtenga acceso inicial a un dispositivo de forma remota.

Hagenah dice que en los casos de empleadores con políticas de “traiga sus propios dispositivos”, existe el riesgo de que alguien se vaya con grandes volúmenes de datos de la empresa guardados en sus computadoras portátiles. Ese es un riesgo particular si no están contentos o se van en malos términos, dice. El regulador de protección de datos del Reino Unido, la Oficina del Comisionado de Información, preguntó Microsoft para proporcionar más detalles sobre Recall y su privacidad.

Aunque Recall sigue siendo una función de «vista previa» y, según Microsoft pequeña impresión, podría cambiar antes de su lanzamiento, escribe Beaumont en su investigación que la empresa «debería retirar Recall y reelaborarlo para que sea la característica que merece ser, entregada en una fecha posterior». Y añade: “También necesitan revisar las decisiones internas que llevaron a esta situación, ya que este tipo de cosas no deberían suceder”.