Microsofts AI-funktion Recall byggdes om för att bli säkrare. Nu har en expert skapat ett verktyg som tömmer det nya valvet på all data.
Förra året presenterade Microsoft funktionen Recall, en AI-driven tjänst till Windows som i princip tar skärmdumpar av allt du gör på din dator. Mottagandet blev iskallt, funktionen stämplades snabbt som en säkerhetskatastrof och lanseringen fick skjutas upp för att byggas om från grunden.
Lösningen blev ett krypterat valv, skyddat av ansiktsigenkänning eller fingeravtryck via Windows Hello. Tanken var att stoppa skadlig kod från att i smyg stjäla den massiva mängd data som samlas in – från privata meddelanden och mejl till webbhistorik.
Men nu väcks ny kritik. Cybersäkerhetsexperten Alexander Hagenah har släppt "TotalRecall Reloaded", ett uppdaterat verktyg som bevisar att Microsofts nya säkerhetsspärrar inte räcker hela vägen.
Enligt Hagenah är det nya valvet visserligen äkta, men systemet litar på användaren lite för länge. Verktyget kan köras tyst i bakgrunden, trigga en inloggningsruta och sedan åka snålskjuts på användarens autentisering.
Så fort användaren loggat in med sitt ansikte eller fingeravtryck suger programmet ut all data som Windows Recall någonsin har sparat. "Det är exakt det scenariot som Microsofts arkitektur var tänkt att förhindra", konstaterar Hagenah.
Microsoft själva tonar dock ner riskerna. När Hagenah rapporterade in bristen avfärdade teknikjätten det som ett icke-problem och menade att systemet fungerar som det är tänkt.
Företaget hävdar att det finns inbyggda tidsgränser som begränsar hur mycket data som kan laddas ner på en gång. Detta tillbakavisas dock skarpt av Hagenah, som uppger att hans verktyg redan har lyckats ta sig förbi just de spärrarna.
Läs också: