Ecco perchè Windows Recall potrebbe essere un grande problema per la privacy

A person spying through a gap of light
(Immagine:: Shutterstock)

Quando ho sentito parlare per la prima volta di Recall, ho subito nascosto la faccia tra le mani. Non avrei mai pensato di vedere un obiettivo così evidente creato da Microsoft, per non parlare della sua commercializzazione come funzione.

Se non ne avete ancora letto, Recall è una funzione AI in arrivo sui PC Windows 11 Copilot+. È progettata per consentirvi di tornare indietro nel tempo sul vostro computer "scattando immagini dello schermo attivo ogni pochi secondi" e analizzandole con l'intelligenza artificiale, secondo le FAQ di Microsoft su Recall. Se qualcuno che non sia l'utente ha accesso ai dati di Recall, la situazione potrebbe essere disastrosa.

Potrebbe suonare familiare, perché è molto simile alla funzione Timeline, fallita e accantonata in Windows 10. Tuttavia, a differenza di Timeline, Recall non si limita a ripristinare una versione dei file del desktop, ma utilizza l'intelligenza artificiale per riportare l'utente a quel momento, aprendo anche le app pertinenti.

Qual è il problema di Windows Recall?

All'apparenza sembra una funzione interessante, ma il purista paranoico della privacy in fondo alla mia mente sta nascondendo la faccia in un cuscino e urlando. Immaginate se quasi tutto quello che avete fatto negli ultimi tre mesi venisse registrato per essere visto da chiunque abbia accesso al vostro computer. Beh, se usate Recall, non dovrete immaginarlo.

Potrebbe sembrare una reazione eccessiva, ma lasciate che vi spieghi: Recall scatta screenshot ogni pochi secondi e li memorizza sul vostro dispositivo. Se si aggiunge la crittografia, si ottiene un'enorme quantità di dati visivi gonfiati che mostrano quasi tutto ciò che si è fatto sul computer in quel periodo.

Come spiega Microsoft, "l'allocazione predefinita per Recall su un dispositivo con 256 GB sarà di 25 GB, in grado di memorizzare circa 3 mesi di istantanee. È possibile aumentare l'allocazione di memoria per Recall nelle Impostazioni del PC. Le vecchie istantanee verranno eliminate una volta utilizzata la memoria allocata, consentendo di memorizzarne di nuove".

Questo è peggio del keylogging! Recall non si limita a registrare ciò che digitate, ma registra tutto ciò che fate, con tanto di foto, ogni tre secondi.

Dico quasi tutto perché Microsoft sostiene che "Recall non esegue istantanee di alcuni tipi di contenuti, comprese le sessioni di navigazione InPrivate in Microsoft Edge. Tratta in modo simile il materiale protetto da gestione dei diritti digitali (DRM); come altre app di Windows, come lo Snipping Tool, Recall non memorizzerà il contenuto DRM". Si tratta di un'affermazione rassicurante, ma ancora troppo vaga perché si possa fare affidamento su di essa. 

Funzionerà solo su Microsoft Edge o si integrerà anche con Chrome e Firefox? Se funziona solo con Edge, sembra un'ingiustificata esclusione della privacy per chi non utilizza l'impopolare browser web di Microsoft.

Ma questa è solo la punta dell'iceberg. Microsoft ammette apertamente che Recall scatterà screenshot delle vostre password e dei vostri dati privati:

"Si noti che Recall non esegue la moderazione dei contenuti. Non nasconde informazioni come password o numeri di conti finanziari. Tali dati potrebbero essere contenuti nelle istantanee memorizzate sul dispositivo, soprattutto quando i siti non seguono i protocolli Internet standard, come l'occultamento dell'inserimento della password".

Quindi, potrebbe trattarsi di qualcosa che memorizza le vostre password, le vostre informazioni, i dettagli dei vostri account, ecc. e che è visibile a chiunque sul vostro profilo. Se avete un solo profilo per il vostro dispositivo, significa che chiunque abbia accesso a quel PC sarà in grado di vedere i vostri dati di Recall.

La parte peggiore di questa situazione è che sarà attiva per impostazione predefinita una volta attivato il dispositivo. Microsoft afferma che: 

"Sui PC Copilot+ dotati di processore Snapdragon® X Series, dopo la prima attivazione del dispositivo viene visualizzata l'icona della barra delle applicazioni di Recall. È possibile utilizzare tale icona per aprire le impostazioni di Recall e scegliere le istantanee che Recall raccoglie e memorizza sul dispositivo".

Penso che questa sia una cattiva idea. La decisione dovrebbe essere presa dall'individuo e non da Windows. Il fatto che sia immediatamente attivo significa solo che le persone non informate potrebbero non essere in grado di agire. A mio parere, è simile al tracciamento dei cookie e può essere altrettanto invasivo. Tutto ciò mi porta a chiedermi se il consenso ai sensi del GDPR possa essere un ostacolo.

Microsoft sta rendendo sicuro Recall?

In difesa di Microsoft, vorrei che si sapesse che c'è stato un tentativo di renderlo sicuro. Non credo che sia stato molto buono, ma il tentativo c'è stato.

Microsoft afferma che "le istantanee di richiamo sono conservate sui PC Copilot+ stessi, sul disco rigido locale, e sono protette utilizzando la crittografia dei dati sul dispositivo e (se si dispone di Windows 11 Pro o di una SKU Windows 11 aziendale) BitLocker". Dalla formulazione, sembra che le istantanee saranno crittografate solo se si dispone di Windows Pro o di un codice Windows aziendale. 

L'omissione degli utenti di Windows Home è terrificante. Se così fosse, le persone comuni sarebbero vulnerabili se i loro dispositivi venissero compromessi. Le persone non dovrebbero pagare un sovrapprezzo e fare un upgrade per proteggere la propria privacy su un sistema operativo che scatta istantanee dello schermo ogni pochi secondi.

La domanda principale, tuttavia, è: che tipo di crittografia viene utilizzata? Da un po' di tempo lavoro con la crittografia delle reti private virtuali (VPN) e il fatto che qualcosa sia "crittografato" non significa che sia sicuro. Infatti, con gli sviluppi dell'informatica quantistica, la crittografia è minacciata e anche i migliori servizi VPN devono trovare metodi di crittografia sicuri dal punto di vista quantistico. Abbiamo già visto che BitLocker può essere violato.

Un'altra nota a favore di Microsoft è che i dati vengono archiviati localmente e crittografati, anziché essere caricati su un server cloud a cui Microsoft può accedere.

"Le schermate di Recall sono collegate solo a uno specifico profilo utente e Recall non le condivide con altri utenti, non le rende disponibili per la visualizzazione da parte di Microsoft e non le utilizza per la pubblicità mirata".

Ciò significa che, per il momento, Microsoft non sta sbirciando dietro le quinte. Ma questo non garantisce che sarà così per sempre. Se Microsoft riuscirà a trovare un modo legale per trarre profitto da questo strumento, credo che ci proverà. Per ora, la spinta sembra essere quella di convincere le persone ad aggiornare il proprio sistema operativo.

Se siete una di quelle famiglie che hanno profili diversi per ogni persona sul PC di famiglia, potete recuperare un po' di privacy. 

"Gli screenshot sono disponibili solo per la persona il cui profilo è stato utilizzato per accedere al dispositivo. Se due persone condividono un dispositivo con profili diversi, non potranno accedere alle schermate dell'altro. Se utilizzano lo stesso profilo per accedere al dispositivo, condivideranno la cronologia delle schermate. Altrimenti, le schermate di Recall non sono disponibili per altri utenti o accessibili da altre applicazioni o servizi".

Il problema è che questo è utile solo se si protegge il profilo con una password e se qualcuno imposta il controllo parentale sul profilo, questo potrebbe fornire una backdoor.

Quali sono i rischi per la sicurezza di Recall?

Probabilmente starete pensando "e allora?". Lasciate quindi che vi illustri alcuni scenari in cui questo potrebbe essere un problema: 

  • State usando un computer pubblico: supponiamo che stiate facendo acquisti online o operazioni bancarie sul computer della biblioteca. Non vi siete accorti che Recall era attivo e ora la persona che sta usando il computer dopo di voi è appena entrata nell'archivio di Recall per recuperare tutti i vostri dati bancari, il vostro indirizzo e le vostre password. È come consegnare le chiavi di casa a un ladro prima di dirgli che si va in vacanza per una settimana.
  • Utilizzate il computer aziendale per motivi personali: è capitato a tutti di usare il computer aziendale per guardare i social media durante la pausa pranzo o semplicemente per fare delle commissioni perché non avete il vostro computer portatile. Ora il vostro capo, il team IT e chiunque abbia accesso al vostro dispositivo può controllare e vedere ogni tre secondi come utilizzate le loro apparecchiature. Potrebbero usarlo per tracciare il vostro rendimento lavorativo e vedere quanto siete produttivi, e potrebbero persino leggere i messaggi privati che inviate alle persone.
  • State usando il PC di famiglia: se state usando il computer di casa e non avete un profilo protetto da password, chiunque potrebbe entrare e aprire la vostra cronologia di Recall. Se avete fatto qualcosa di sgradevole, sarà evidente, anche se avete cancellato la cronologia delle ricerche.
  • Se venite hackerati o vi rubano il portatile: questo è abbastanza ovvio, ma se qualcuno riesce a entrare nel vostro dispositivo, la crittografia non avrà importanza. Allo stesso modo, se qualcuno ruba il vostro computer portatile e non avete una password sicura per bloccarlo, un criminale (informatico o di altro tipo) può usare Recall per togliervi il mondo da sotto i piedi.

Sono tanti i problemi che possono derivare dall'accesso ai dati di Recall. L'uso di un gestore di password diventa irrilevante se qualcuno può vedervi digitare la vostra password principale, i vostri messaggi privati saranno tutt'altra cosa e non ha senso cancellare la cronologia delle ricerche perché Microsoft conserva le ricevute!

Come proteggere la privacy con Windows Recall

Ci sono alcuni modi per proteggere la vostra privacy da Windows Recall, ma il più ovvio ed efficace è quello di disabilitarlo completamente. Come dice il proverbio, "un grammo di prevenzione vale un chilo di cura". È meglio non avere queste informazioni memorizzate sul dispositivo.

Se, tuttavia, volete usare Recall, dovrete fare quanto segue:

  • Creare un profilo individuale sul PC: questo impedirà alle persone di avere accesso condiviso ai dati di Recall, purché si segua il consiglio successivo.
  • Proteggete il vostro profilo con una password: non solo il vostro dispositivo, ma anche il vostro profilo. Non usate una password debole, siate seri. Usate tre parole memorabili con numeri e simboli, e no, non impostate la password come "3-Memorable-worD5!".
  • Crittografate i dati di Recall: potreste dover aggiornare il vostro sistema operativo o pagare per BitLocker, ma la crittografia non è negoziabile. Se qualcuno supera la vostra password, non volete che abbia accesso immediato e non controllato a ciò che avete fatto negli ultimi tre mesi.
  • Non accedete a dati sensibili quando Recall è attivo: se dovete digitare password personali o guardare contenuti NSFW, spegnetelo. Questo sarà ovviamente fastidioso e richiederà molto tempo, ma è molto meglio dell'alternativa di avere tutto sotto controllo.
TOPICS
Andreas Theodorou
Editor-in-Chief of Tech Software

Andreas has been with TechRadar as Future PLC's Editor-in-Chief of Tech Software since March 2023, supporting content and teams on VPNs, antivirus, and other cybersecurity tools. He's previously written for and led content at ProPrivacy, Business2Community, and The Tech Report. After completing a Master of Research degree, Andreas fell in love with all things cybersecurity; combining his passions to help expose the prevalence of ad tech in the charity sector and raise awareness of digital privacy around the world.