此篇文章发布距今已超过168天,您需要注意文章的内容或图片是否可用!
当地时间6月7日-周五,微软表示将对最近发布的一款人工智能产品进行重大修改,该产品依靠用户屏幕截图来制作可搜索的过去活动日志,此举遭到了安全研究人员的严厉批评。随着批评声蔓延到主流媒体,该软件制造商改变了方针,于7日宣布将改变Copilot+ PC的设置体验,让Windows用户更明确地选择使用Recall保存快照。软件工程师现在需要Windows Hello注册才能启用Recall功能,并且需要“在场证明”才能查看和搜索Recall中保存的屏幕截图。此外它还将增加额外的数据保护层,包括受Windows Hello增强登录安全 (ESS)保护的“及时”解密,因此只有在用户进行身份验证时,Recall快照才会被解密和访问。上个月,微软宣布了这项名为“Recall”的功能,首席执行官萨蒂亚·纳德拉将其称为“照相记忆”,利用即将推出的Copilot+ PC上运行的公司专有人工智能模型,它可以“重现过去的时刻”,记录用户所做的任何事情。随后该功能被广泛批评为存在安全和隐私风险,默认情况下处于开启状态,需要用户通过复选框来选择退出使用人工智能创建可搜索的数字记忆的软件,该记忆记录了用户在Windows电脑上所做的一切事情。安全研究人员很快指出,此类截图将包含敏感信息,包括用户名和密码,但微软表示数据是安全的。包括凯文·博蒙特(Kevin Beaumont)在内的知名安全专家迅速指出,这些数据实际上是以纯文本形式存储的,并称推出这款定于6月18日发布的产品的决定是“十年来最愚蠢的网络安全举措”。事实证明,利用该功能相当容易。例如,SIX Group AG的研究员Alex Hagenah创建了一款名为“TotalRecall”的工具,该工具可以复制数据库并解析其中的有趣细节。6月7日,微软宣布对该产品进行一系列更改,包括将Recall设置为可选功能,并默认关闭。此外,该产品将需要通过公司的Windows Hello产品进行生物识别注册才能启用,并且需要提供在场证明才能查看屏幕截图的时间线并在Recall中进行搜索。该公司还表示将增强Recall数据库的加密。微软Windows和设备公司副总裁帕万·达武里(Pavan Davuluri)在周五(6月7日)的一篇博客文章中表示:“甚至在向客户提供Recall之前,我们就已经听到了一个明确的信号,即我们可以让人们更轻松地选择在他们的Copilot+ PC上启用Recall,并改善隐私和安全保障。”在国家支持的黑客发起一系列引人注目的安全漏洞攻击后,微软承诺将产品开发的安全放在首位,随后对Recall进行了修改。美国网络安全审查委员会的一份报告得出结论,微软已经形成了一种贬低安全的企业文化。该报告促使纳德拉向微软员工发出指示,要求他们优先考虑产品的安全问题。他在给公司的备忘录中写道:“如果你面临在安全和其他优先事项之间做出权衡,你的答案很明确:优先考虑安全问题。”安全专家指出,Recall的安全问题证明微软尚未兑现承诺。博蒙特6月7日表示,这些变化的具体实施方式至关重要,他建议安全研究人员在未来几周内对微软声称的增强安全性进行“深入研究”。1、https://www.securityweek.com/microsoft-bows-to-public-pressure-disables-controversial-windows-recall-by-default/2、https://cyberscoop.com/microsoft-rolls-back-dumbest-cybersecurity-move-in-a-decade/3、https://blogs.windows.com/windowsexperience/2024/06/07/update-on-the-recall-preview-feature-for-copilot-pcs/ 推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com
还没有评论,来说两句吧...