Kevin Beaumont นักวิจัยด้านความปลอดภัย มีโอกาสลองเล่นฟีเจอร์ Recall ของ Windows 11 ที่เปิดตัวในงาน Copilot+ PC และพบว่ามีความเสี่ยงที่จะทำให้ข้อมูลส่วนบุคคลรั่วไหล หรือถูกขโมยข้อมูลได้

หลักการทำงานของ Recall คือบันทึกภาพหน้าจอเป็นระยะๆ แล้วใช้ OCR อ่านหน้าจอว่ามีข้อความอะไรบ้าง (ถ้าเป็นภาพก็จะใช้โมเดลจาก Azure AI อ่านภาพเพื่อดูว่าเป็นภาพอะไร ประมวลผลในเครื่อง) ข้อความเหล่านี้จะถูกเก็บลงฐานข้อมูล SQLite ในเครื่องเพื่อให้มาคุ้ยหาภายหลังได้ง่าย

ไฟล์ที่เก็บใน SQLite เป็นไฟล์ข้อความ plaintext ที่ไม่ถูกเข้ารหัส ถึงแม้ข้อมูลในไดรฟ์ถูกเข้ารหัสไว้ตามมาตรฐานของวินโดวส์ (เป็นการเข้ารหัสเฉพาะข้อมูลที่เก็บคือ encrypted at rest) แต่ตอนนำมารันก็ต้องถอดรหัสข้อมูลอยู่ดี จึงมีโอกาสที่ผู้ใช้คนอื่นบนเครื่องเดียวกันจะเข้ามาดึงไฟล์ SQLite จากในโฟลเดอร์ส่วนตัวของผู้ใช้ได้ สิ่งที่ป้องกันไว้มีเพียงระบบ UAC ของตัววินโดวส์เท่านั้น (หากมีสิทธิแอดมินเครื่องก็ข้ามได้สบาย)

Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.HT detective pic.twitter.com/Njv2C9myxQ

— Kevin Beaumont (@GossiTheDog) May 30, 2024

เว็บไซต์ Ars Technica มีโอกาสทดสอบ Recall ของจริงบนเครื่อง Windows Dev Kit 2023 และพบว่าเป็นจริงตามที่ Beaumont กล่าวไว้ นอกจากการเข้าถึงโดยผู้ใช้คนอื่นบนเครื่องเดียวกัน ยังมีโอกาสที่พีซีจะติดไวรัสหรือมัลแวร์ขโมยข้อมูล แล้วดูดไฟล์ฐานข้อมูล SQLite ออกมาได้เช่นกัน

ประเด็นที่ Beaumont และ Ars Technica เป็นห่วงคือ Recall จะบันทึกหน้าจอไว้เรื่อยๆ จึงมีโอกาสเก็บข้อมูลอ่อนไหวบางอย่าง (เช่น รหัสผ่าน) บนจอโดยไม่ตั้งใจ ถึงแม้ไมโครซอฟท์มีมาตรการป้องกันอยู่พอสมควร เช่น เรียนรู้ว่าตรงไหนเป็นช่องรหัสผ่าน รวมถึงสามารถสั่ง exclude แอพที่ไม่ต้องการได้ แต่ก็คงกันไม่ได้ทั้งหมด (เช่น รหัสผ่านที่ส่งมาในข้อความแชท) แถมตอนนี้มีนักพัฒนาเขียนสคริปต์ดูดข้อมูลได้แล้ว (ใช้ชื่อว่า TotalRecall) ยิ่งทำให้เกิดโอกาสข้อมูลรั่วไหลมากยิ่งขึ้น

Will release TotalRecall in a few days. Loads to play with and to work on.Thank you @GossiTheDog for the inspiration!#WindowsRecall #CyberSecurity #Microsoft #TotalRecall pic.twitter.com/vm3qxienV1

— Alex (@xaitax) June 2, 2024

หลังไมโครซอฟท์เปิดตัว Recall ก็มีข่าวว่า หน่วยงานคุ้มครองข้อมูลของสหราชอาณาจักร (ICO) แสดงความเป็นห่วงเรื่องข้อมูลส่วนตัวรั่วไหล และขอให้ไมโครซอฟท์ชี้แจงในเรื่องนี้ด้วย

ที่มา - Kevin Beaumont, Ars Technica