Daha önce Microsoft’un Windows 11 için yapay zeka tarafından desteklenen ve Copilot+PC’lerde çalışan Yeni Geri Çağırma özelliği hakkında bir paylaşım yapmıştık. Bu yapay zeka destekli yükseltme Yapı Konferansı’nda duyurulur duyurulmaz güvenlik endişeleri dile getirildi. Microsoft, gizlilik çekincelerini şifreleme güvencesi yoluyla ele alırken, bir güvenlik araştırmacısı artık Windows AI özelliğiyle ilgili bazı ciddi sorunlara dikkat çekti ve bunu bir güvenlik ‘felaketinden’ başka bir şey olarak adlandırmadı.
Microsoft’un Geri Çağırma özelliğiyle gizliliği koruduğu iddiasına rağmen, bir uzman yakın zamanda bu özelliği test etti ve bunun bir güvenlik felaketi olduğunu söyledi.
Microsoft şifreli bir Geri Çağırma deneyimi sağladı ancak siber güvenlik uzmanı Kevin Beaumont bu iddiayı sorguladı. Bu özelliği test ederken Beaumont, verilerin bir veritabanında düz metin olarak saklanması nedeniyle bazı güvenlik açıkları buldu. Kötü uygulanan bu özelliğin ciddi marka imajına ve müşteri hasarına neden olmasından duyduğu derin endişeyi dile getirdi.
Araştırmacıya göre, kullanıcı verileri SQLite veritabanında düz metin olarak depolanır ve bilgisayarda görüntülenenlerin tüm kayıtlarını tutar. Veriler kullanıcı klasöründe saklandığından, kötü amaçlı yazılım kullanarak bilgisayarları istila edebilecek potansiyel bilgisayar korsanları tarafından bu verilere erişilebilir. Kullanıcıları, bu özellik sayesinde siber suçluların daha güçlü ve bazı ciddi anlamda daha güçlü olmasını beklemeleri gerektiği konusunda uyardı.
Microsoft, verilerin cihazda yerel olarak saklanması ve şifrelenmesi nedeniyle verilere herhangi bir bilgisayar korsanının uzaktan erişemeyeceğini iddia etse de Beaumont bu duruşa karşı çıktı. Veritabanına yönetici olmasanız bile erişilebildiğini ve AppData dosyaları aracılığıyla uzaktan dışarı çıkarılabildiğini belirtiyor. İfadesinin doğru olduğundan emin olmak için araştırmacı, önceden yayımlanan özelliğe ilişkin verileri sızdırdı ve ardından, dosyalar üzerinde herhangi bir şey arayıp arama yapıp yapamayacağınızı test ettiği veritabanını yüklemek için bir web sitesi geliştirdi.
Beaumont, otomatik sızma sürecinin teknik ayrıntılarını kasıtlı olarak Recall’ın veritabanına sakladı. Microsoft’un durumla ilgili yanıtını beklediği için henüz bilgiyi kasıtlı olarak paylaşmadığını söyledi. Bu özelliğin ortaya çıkarabileceği potansiyel güvenlik sorunları nedeniyle, özelliğin kullanıma sunulmasını şimdilik duraklatmanın en iyisi olduğunu öne sürüyor.
Microsoft, devam eden güvenlik ve gizlilik endişelerine henüz yanıt vermedi, ancak Geri Çağırma isteğe bağlı bir deneyimdir ve kullanıcılar bunu kullanmakta kendilerini rahat hissetmezlerse devre dışı bırakılabilir. Bu arada, AI tabanlı Geri Çağırma özelliğine sahip Copilot+PC’lerin 18 Haziran’da piyasaya sürülmesi planlanıyor.
0 Yorumlar