Prima di procedere
Quando Microsoft ha annunciato la funzione Recall, basata su algoritmi di intelligenza artificiale per registrare quasi tutte le attività degli utenti Windows, è stata subito etichettata come una potenziale «catastrofe» per la cybersecurity e un «incubo per la privacy». A seguito di una forte reazione negativa, l'azienda ha posticipato l'implementazione, dedicando un anno alla riprogettazione della funzione. Tuttavia, la versione aggiornata sembra ancora non soddisfare pienamente i requisiti di sicurezza e riservatezza.
L'esperto di cybersecurity Alexander Hagenah ha sviluppato TotalRecall Reloaded, uno strumento capace di estrarre e visualizzare i dati raccolti da Recall. Si tratta di una versione aggiornata di TotalRecall, che aveva già evidenziato le vulnerabilità della funzione prima della sua rielaborazione da parte di Microsoft.
Microsoft si è concentrata sulla creazione di un archivio protetto per i dati raccolti da Recall, utilizzando l'autenticazione tramite Windows Hello e un ambiente isolato basato sulla virtualizzazione. L'accesso ai dati e l'attivazione di Recall richiedono l'autenticazione tramite riconoscimento facciale o impronta digitale, una misura pensata per impedire l'accesso ai dati degli utenti da parte di software dannoso.
«La mia ricerca ha dimostrato che l'archivio esiste, ma il limite di fiducia finisce troppo presto. TotalRecall Reloaded consente a software dannoso nascosto di connettersi», ha spiegato Hagenah. Ha aggiunto che TotalRecall Reloaded può operare in background e attivare la timeline di Recall, forzando l'utente ad autenticarsi tramite Windows Hello. Una volta superata l'autenticazione, TotalRecall Reloaded può estrarre tutto ciò che è stato registrato da Recall. «Questo è esattamente lo scenario che l'architettura di Microsoft avrebbe dovuto impedire», ha sottolineato il ricercatore.
La funzione Recall memorizza molto più di semplici schermate. Le immagini possono contenere testi visualizzati dall'utente, messaggi di chat, email, documenti e altro. È probabile che Microsoft necessiti di ulteriore tempo per perfezionare Recall prima di una sua implementazione su larga scala.
Le implicazioni di una funzione come Recall vanno ben oltre la semplice questione tecnica. Sollevano interrogativi fondamentali sulla sorveglianza digitale e sul controllo dei dati personali. Se da un lato l'idea di poter "tornare indietro nel tempo" per recuperare informazioni può sembrare allettante, dall'altro il rischio di abusi e violazioni della privacy è concreto. Immaginate, ad esempio, uno scenario in cui un malintenzionato riesce ad accedere alle registrazioni di Recall di un utente: potrebbe scoprire informazioni sensibili come password, dati finanziari, conversazioni private e molto altro. Questo tipo di scenario potrebbe portare a furti di identità, estorsioni e altre forme di criminalità informatica.
Inoltre, la stessa esistenza di una funzione come Recall potrebbe avere un effetto chilling sulla libertà di espressione e sulla creatività degli utenti. Sapere di essere costantemente "sorvegliati" potrebbe indurre le persone a limitare le proprie attività online, a evitare di esprimere opinioni controverse o a non sperimentare con nuove idee. Questo tipo di auto-censura potrebbe avere un impatto negativo sulla società nel suo complesso.
Microsoft si trova quindi di fronte a una sfida complessa: da un lato, deve cercare di innovare e offrire nuove funzionalità ai propri utenti; dall'altro, deve garantire che queste funzionalità non compromettano la loro privacy e sicurezza. La strada per trovare un equilibrio tra questi due obiettivi è ancora lunga e tortuosa, e richiederà un dialogo aperto e trasparente con la comunità degli esperti di sicurezza e con gli utenti stessi.
