המיזם החדש של מיקרוסופט Recall נחשף כסיכון אבטחה

12.6.2024, 17:24

תגלית חדשה: האקרים יכולים לגשת לנתונים היסטוריים של פונקציית ה-AI ללא הרשאות אדמין – הפיצ'ר זכה לביקורת כ'אסון מוחלט'.

Eulerpool News 12 ביוני 2024, 17:24

מנכ"ל מיקרוסופט, סאטיה נאדלה, שיבח את הפונקציה החדשה "Recall", ששומרת היסטוריה של שולחן העבודה של המחשב וזמינה לניתוחי בינה מלאכותית, כ"זיכרון צילומי" למחשב. עם זאת, בתוך קהילת אבטחת הסייבר, הפונקציה הזו מבוקרת כ-"חלום ההאקרים" ואחת מרעיונות המוצר הגרועים ביותר בתקופה האחרונה.

Sicherheitslücken in der Recall-Funktion entdeckt

להלן ממצאים חדשים של חוקרי אבטחה:
חוקרי אבטחה פרסמו ביום רביעי ממצאים חדשים המראים כי אמצעי האבטחה הנותרים של Recall ניתנים לעקיפה בקלות. ג'יימס פורסו, חוקר בפרויקט Zero של גוגל, הציג בפוסט בבלוג שתי שיטות לעקיפת זכויות המנהל ולקבלת גישה לנתוני Recall. "אין צורך במנהל ;-)", כתב פורסו בסיום הפוסט שלו.

פושר הסביר שאחת השיטות היא לחקות באופן זמני תוכנית על מכונות Windows הנקראת AIXHost.exe, שמסוגלת לגשת למסדי נתונים מוגבלים. השיטה הפשוטה יותר כוללת את שינוי הרשימות של בקרת הגישה על מכשיר המטרה כדי לאפשר גישה מלאה למסד הנתונים.

Reaktionen und Konsequenzen

Certainly! Here is the translated heading:

אלכס הייגן, אסטרטג אבטחת סייבר, הביע הפתעה מהקלות של השיטות. הייגן פיתח לאחרונה כלי Proof-of-Concept בשם TotalRecall, שהראה כיצד תוקף יכול לחלץ את נתוני ה-Recall. עד כה הכלי שלו היה צריך הרשאות מנהל כדי לפעול. עם השיטות של פורסו, זה כבר לא נדרש.

הגילויים הללו מגבירים את החשש כי Recall משמשת למעשה כרוגלה מותקנת מראש על מכשיר המשתמש וניתנת לניצול בקלות על ידי האקרים. דייב איטל, מייסד חברת הסייבר Immunity, הדגיש: "זה הופך את האבטחה שלך לשברירית מאוד, שכן כל מי שיחדור למכשיר שלך אפילו לרגע יכול לצפות בכל ההיסטוריה שלך.

Microsofts Antwort bleibt aus

עד כה נבדק Recall בגרסאות תצוגה מקדימה, לפני שיושק רשמית מאוחר יותר החודש. מיקרוסופט מתכננת להפעיל את הפונקציה כברירת מחדל במחשבי Copilot+ תואמים. למרות פניות, מיקרוסופט טרם הגיבה לממצאים של פורשאו.

ג'ייק וויליאמס, האקר לשעבר ב-NSA וכיום סגן נשיא למחקר ופיתוח בחברת הייעוץ להגנת סייבר Hunter Strategy, הביע חששות כבדים: "זהו אחד המקרים המפחידים ביותר שראיתי אי פעם מנקודת מבט של אבטחת מידע ארגונית." הוא ביקר שהפונקציה יצאה לשוק ללא בדיקה נאותה על ידי צוות אבטחת המידע של מיקרוסופט.

הגילויים האחרונים הללו מבליטים עוד יותר את הצורך בבדיקה בטיחותית קפדנית של טכנולוגיות חדשות ואת הסיכונים הפוטנציאליים הכרוכים בהן.

עשה את ההשקעות הטובות ביותר של חייך

מתחילים מ-2 אירו

חדשות

חברות

AllianceBernstein תובעת את שווייץ בגין מחיקת אג"ח AT1 בשווי 225 מיליון דולר

שווקים

eToro מתכננת הנפקה בארה"ב – הערכה עשויה לעבור 3.5 מיליארד דולר

קיל"מ

אופן איי מכריזה על גל של מוצרים ותכונות חדשים עם "Shipmas

נכסים

החושף של פרשת כמ-אקס אקהרט סייט שוב בבית המשפט – מערכת המשפט השוויצרית מעלה האשמות

פוליטיקה

האיחוד האירופי מחפש דיאלוג עם אילון מאסק: אסטרטגיה דיגיטלית חדשה לאחר סכסוך פומבי