Hagenah dit qu'un attaquant pourrait obtenir une énorme quantité d'informations sur leur objectif, y compris des informations sur leurs e-mails, leurs conversations personnelles et toute information sensible capturée par rappel.

Le travail de Hagenah s'appuie sur les résultats du chercheur en cybersécurité Kevin Beaumont, qui a Détaillé de la quantité de rappel des informations captures Et à quel point il peut être facile de l'extraire. Beaumont dit également qu'il a construit un site Web où une base de données de rappel peut être téléchargée et recherchée instantanément. Il dit qu'il n'a pas encore publié le site, pour permettre à Microsoft le temps de changer potentiellement le système. «Les chevaux de Troie d'infostealer, qui volent automatiquement les noms d'utilisateur et les mots de passe, sont un problème majeur pendant plus d'une décennie, maintenant ceux-ci peuvent être facilement modifiés pour soutenir le rappel», écrit Beaumont.

Les critiques interviennent alors que les hacks des systèmes Microsoft ont conduit à diverses violations de données du gouvernement américain; Nadella a déclaré que la sécurité devrait être «Priorité absolue de Microsoft. ” Microsoft n'a pas répondu à la demande de commentaires de Wired sur les fonctionnalités de sécurité du rappel au moment de la publication.

Pages de confidentialité du rappel Disons qu'il est possible de désactiver les captures d'écran de sauvegarde (désactiver efficacement le rappel), en pause temporairement le système, filtrer les applications où les captures d'écran sont prises et supprimer ce qui est recueilli à tout moment. Rappel s'exécute sur l'ordinateur portable lui-même, stockant les données qu'il capture sur l'appareil et n'envoyant pas ces informations aux serveurs de Microsoft. Hagenah dit que cette affirmation semble être vraie, sans signe que les données sont envoyées à Microsoft.

Microsoft est, au moins, conscient de certains des problèmes possibles liés à la confidentialité et à la sécurité avec le rappel: ses pages d'aide disent que le système n'effectue aucune modération de contenu sur ce qui est contenu dans les images qu'il enregistre. Cela signifie que Microsoft dit dans le guide, qu'elle ne «masquera pas des informations telles que les mots de passe ou les numéros de compte financier». Les chercheurs en sécurité ont déjà pu Extraire les mots de passe du rappel.

La base de données principale du rappel est stockée sur le répertoire système de l'ordinateur portable, et bien qu'elle ait besoin de droits de l'administrateur pour accéder, les attaques d'escalade de privilèges existent depuis des années, ce qui rend théoriquement possible pour un attaquant d'obtenir un accès initial à un appareil à distance.

Hagenah dit que dans les cas d'employeurs ayant des politiques «apporter vos propres appareils», il y a un risque que quelqu'un part avec d'énormes volumes de données d'entreprise enregistrées sur leurs ordinateurs portables. C'est un risque particulier s'ils sont mécontents ou partent en mauvais termes, dit-il. Le régulateur de protection des données du Royaume-Uni, le bureau du commissaire à l'information, a demandé à Microsoft Pour fournir plus de détails sur le rappel et sa vie privée.

Tandis que le rappel reste une fonctionnalité «prévisualisation» et, selon Microsoft petite impressionpourrait changer avant son lancement, Beaumont écrit dans ses recherches que la société “devrait se rappeler et se retrouver pour être la fonctionnalité qu'elle mérite d'être, livrée à une date ultérieure”. Il ajoute: “Ils doivent également revoir la prise de décision interne qui a conduit à cette situation, car ce genre de chose ne devrait pas se produire.”