Microsoft Recall, kredi kartlarını ve şifreleri kaydediyor

TechSpiker

Teknoloji Haberleri
Yönetici
Moderatör
Mesajlar
696
Tepkime puanı
737
Puanları
95
Konum
Türkiye
Gelecekteki araştırmalar için tüm bilgisayar aktivitelerinin ekran görüntülerini otomatik olarak alan özel Copilot+ PC uygulaması Microsoft Recall, devrim niteliğinde bir yenilik olarak lanse edilse de, siber suçlular için altın madeni haline getirebilecek güvenlik açıklarını gizliyor. Hassas bilgileri korumak için tasarlanmış güvenlik ve filtre vaatlerine rağmen, son testler sistemin kredi kartı numaraları, parolalar ve kişisel bilgiler gibi kritik verileri korumada sürekli olarak başarısız olduğunu ortaya koyuyor.

Microsoft Recall kredi kartlarını ve şifreleri kaydediyor.webp

Yeterince filtrelemeyen bir filtre​

2024 yılında özel Nöral İşlem Birimi'ne sahip dizüstü bilgisayarlar için özel bir özellik olarak tanıtılan uygulama, kredi kartı numaraları ve parolalar gibi kişisel verilerin yakalanmasını engelleyen varsayılan bir hassas bilgi filtresi içeriyor. Ancak The Register tarafından bir Lenovo Yoga Slim 7x Copilot+ üzerinde yapılan testler, endişe verici bir sistematik arıza örüntüsü ortaya koyuyor.

Çevrimiçi bankacılık hesaplarına erişirken, yazılım hem bankanın ana sayfasını hem de bakiyeleri ve mevduat listesini içeren çeşitli ekranları ele geçirdi ve bu da potansiyel bir saldırganın kullanıcının hangi bankayı kullandığını ve ne kadar parası olduğunu belirlemesine olanak sağladı. Hesap numaraları ve yönlendirme numaralarının bulunduğu ekranı doğru bir şekilde hariç tutmuş olsa da, bu kısmi bilgiler saldırganlar için yine de değerli olabilir.

Kredi kartları: değişken geometri koruması​

Çevrimiçi ödeme alanında Recall, büyük ölçüde görsel bağlama bağlı olarak tutarsız bir performans sergiliyor. Microsoft web sitesinde kredi kartı eklemek için kullanıldığında, sistem kart numarası, CVC ve tarih alanlarını boş bırakarak bir ekran görüntüsü almayı başardı. Benzer şekilde, kart numarası alanının önünde "CC:" harfleri bulunan özel olarak hazırlanmış bir ödeme formunu da başarıyla filtreledi.

Ancak, "ödeme sayfası" veya "ödeme bilgilerini girin" gibi tanımlayıcı metinleri formdan kaldırıp yalnızca kredi kartı numarası, son kullanma tarihi ve CVC alanlarını bırakarak, Recall her şeyi ele geçirdi. Bu güvenlik açığı, sistemin verilerin kendisinde desen tanıma yerine metinsel ipuçlarına aşırı derecede güvendiğini ortaya koyuyor.

Parolalar ve kimlik bilgileri: Güvenlik açıklarının bir labirenti​

Şifre yönetimi daha da karmaşık senaryolar sunuyor. Yazılım, Google Chrome'un şifre yöneticisini filtrelemede etkili olduğunu kanıtladı ve hatta Windows Ekran Alıntısı Aracı aracılığıyla hassas bilgiler görüntülendiğinde ekran görüntüsü alınmasını engelledi. Ayrıca, "kullanıcı adı" ve "şifre" kelimelerini açıkça içeren metin dosyalarıyla da doğru şekilde çalıştı.

Ancak, kullanıcı adları ve parolalar bu tanımlayıcılar olmadan bir metin dosyasında listelendiğinde, sistem ekranı sessizce yakalar. Bu kusur, birçok kullanıcının her girişin yanına "parola" kelimesini eklemeden kimlik bilgileri listelerini tuttuğu düşünüldüğünde özellikle endişe vericidir.

Recall'ın ABD Sosyal Güvenlik numaralarını işlemedeki performansı, bir başka kritik tutarsızlık alanını ortaya koyuyor. Bir Word belgesine "SS#:" önekiyle bir numara girildiğinde, sistem yalnızca ilk üç haneyi içeren bir görüntü yakaladı. Ancak, öneki "Soc:" olarak değiştirildiğinde tüm haneler yakalandı ve bu da tanıma sisteminin ne kadar kırılgan ve öngörülemez olduğunu gösterdi.

Kimlik belgelerinde, yazılım pasaport fotoğrafı tamamen görünür olduğunda çekimi doğru bir şekilde önledi, ancak görüntü başka bir pencere tarafından kısmen kapatıldığında çekimi başaramadı.

Microsoft'un yanıtı: Son teslim tarihi olmayan, devam eden bir çalışma​

Microsoft, bu bulgular sorulduğunda doğrudan yorum yapmayı reddetti. Ancak şirket, Recall'ın hassas veri filtresinin mükemmel olduğunu hiçbir zaman iddia etmedi. Kasım ayında, bu özelliği Windows Insider'lara resmen sunmaya başladıkları bir blog yazısında, Ürün Yöneticileri Amanda Langowski ve Brandon LeBlanc, "Bu özelliği geliştirmeye devam edeceğiz ve bağlamınıza, dilinize veya coğrafyanıza göre filtrelenmesi gereken hassas bilgiler bulursanız, lütfen Geri Bildirim Merkezi aracılığıyla bize bildirin" diye yazmıştı.

Kullanıcılar, Windows ayarlarında belirli uygulama veya web sitelerinin ekran görüntüsü almasını engellemek için kara listeye ekleyebilirler. Ancak bu, neyi engellemek istediğinizi önceden planlamanızı gerektirir ve gerçekten özenli kullanım, tarayıcı uygulamalarını engellemeyi gerektirir ve bu da Recall'ı tamamen işlevsiz hale getirir.

Güvenlik: Erişimin Vaatleri ve Gerçekliği​

Microsoft, Recall'ın güvenliğini duyurmak için önemli çaba sarf etti. Güvenlik araştırmacısı Kevin Beaumont, Haziran 2024'te Recall veritabanının düz metin olarak depolanması da dahil olmak üzere ciddi sorunları vurguladıktan sonra, şirket ürünü birkaç ay boyunca önizlemelerden çekti ve önemli değişiklikler yaptı.

Geliştirmeler arasında, artık Sanallaştırma Tabanlı Güvenlik Bölgesi'nde (VBS) saklanan ekran görüntülerinin ve veritabanlarının şifrelenmesi ve Recall ekran görüntülerini görüntülemek veya aramak için Windows Hello oturumu açma zorunluluğu yer alıyor. Ancak Windows Hello, yüz veya parmak izine ek olarak PIN kullanımını da destekliyor. Yani, PIN kodunu bilen veya tahmin edebilen biri, tüm Recall ekran görüntülerine erişebilir.

Bilgisayara fiziksel erişimin olmaması da aşılmaz bir engel değil. TeamViewer gibi ücretsiz uzak masaüstü yazılımlarıyla yapılan testler, yüz tanıma gerektiğinde PIN kodunu kullanarak tüm Geri Çağırma geçmişini ikinci bir bilgisayardan görüntüleme olanağını göstermiştir.

Savunmasız Mağdurlar: Gizlilik Hayatta Kalma Sebebi Haline Geldiğinde​

Gizlilik savunucuları, kişisel bilgilere yanlış kişilerin erişmesinin sonuçları konusunda özellikle endişeli. Brave Software'in baş gizlilik araştırmacısı Peter Snyder, şirketin özellikle aile içi şiddet mağdurları gibi savunmasız kullanıcılar konusunda endişeli olduğunu ve Recall ekran görüntülerinden zarar görebileceklerini açıkladı.

Tacizci bir partner, mağdurun destek, tıbbi yardım veya kaçış yolları sunan web sitelerini ziyaret ettiğini keşfedebilir. Snyder, "birçok kullanıcının, bilgisayarlarına veya telefonlarına erişimi olan kişilerden web'de gezinirken belirli noktaları gizlemesi gerektiğini" vurguladı. "Recall, Brave'in bu tür korumaları sağlamasını son derece zorlaştırıyor çünkü yazılıma ekran görüntülerine nelerin dahil edileceği konusunda kontrol sağlayacak şekilde tasarlanmamış."
 
Moderatör tarafında düzenlendi:
Dürüstçe söyleyeceğim. Yazı çok gereksiz uzatılmış. Ayrıca, zaten bu beklenen bir şeydi. Bir gram şaşırtmadı.
 

TechForum.TR Trend

TechFoumTR Blog Yazıları