Fitur kontroversial bertenaga AI Microsoft Recall terus menghadapi masalah keamanan serius karena pengujian terbaru mengungkapkan mekanisme penyaringan data sensitif yang tidak dapat diandalkan dan sering gagal melindungi privasi pengguna. Meskipun telah mendapat beberapa pembaruan keamanan sejak peluncuran awal yang bermasalah, alat penangkap tangkapan layar ini masih menimbulkan risiko signifikan terhadap informasi pribadi.
 |
|---|
| Antarmuka fitur Recall Microsoft pada laptop, menyoroti desain kontroversial dan masalah keamanannya |
Pengujian Mengungkap Kegagalan Filter yang Meluas
Pengujian komprehensif terbaru yang dilakukan oleh The Register pada perangkat Lenovo Yoga Slim 7x mengekspos kerentanan kritis dalam filter keamanan Recall yang seharusnya kuat. Meskipun fitur AI berhasil memblokir beberapa data sensitif ketika kata kunci yang jelas seperti password atau informasi pembayaran muncul di layar, fitur ini secara konsisten gagal ketika petunjuk visual tersebut tidak ada atau diformat berbeda dari yang diharapkan. Pengujian mengungkapkan bahwa daftar password tanpa label, nomor kartu kredit tanpa penanda konteks yang jelas, dan nomor jaminan sosial dengan awalan non-standar secara rutin ditangkap dalam tangkapan layar.
Hasil Tes Keamanan Recall:
- Penyaringan berhasil: Sebagian besar data keuangan dengan label yang jelas, pengelola kata sandi Chrome , kolom kata sandi berlabel, foto paspor sebagian
- Penyaringan gagal: Daftar kata sandi tanpa label, formulir kartu kredit tanpa penanda konteks, nomor jaminan sosial dengan awalan non-standar
- Sukses sebagian: Halaman bank (menyaring detail akun tetapi menangkap saldo), login PayPal (memblokir kata sandi tetapi menampilkan nama pengguna)
Perlindungan yang Tidak Konsisten di Berbagai Skenario
Penilaian keamanan menunjukkan bahwa kinerja Recall bervariasi secara dramatis tergantung pada bagaimana informasi sensitif disajikan. Ketika pengguna menambahkan kartu kredit melalui akun Microsoft , sistem dengan benar menyaring nomor kartu, kode CVC, dan tanggal kedaluwarsa. Namun, ketika informasi yang sama muncul dalam formulir khusus tanpa label yang jelas seperti halaman penagihan atau informasi pembayaran, Recall menangkap semuanya. Demikian pula, meskipun fitur ini berhasil memblokir antarmuka pengelola password Google Chrome , fitur ini gagal mengenali daftar password teks biasa yang tidak memiliki header identifikasi.
 |
|---|
| Logo Microsoft Copilot , melambangkan sifat inovatif namun bermasalah dari fitur seperti Recall |
Data Perbankan dan Keuangan Tetap Rentan
Yang mungkin paling mengkhawatirkan untuk keamanan keuangan pengguna, Recall menunjukkan perilaku yang tidak konsisten ketika menangani informasi perbankan. Sistem dengan benar menyaring halaman yang berisi nomor rekening dan informasi routing tetapi masih menangkap beranda bank dan tampilan saldo. Perlindungan parsial ini berarti bahwa meskipun penyerang mungkin tidak mendapatkan kredensial akun langsung, mereka masih dapat mengakses detail keuangan sensitif termasuk nama bank, saldo akun, dan riwayat transaksi yang dapat terbukti berharga untuk serangan rekayasa sosial.
Masalah Akses Jarak Jauh Memperparah Risiko Keamanan
Kerentanan keamanan menjadi lebih mengkhawatirkan ketika dikombinasikan dengan kemampuan akses jarak jauh Recall . Pengujian menunjukkan bahwa siapa pun yang mengetahui kode PIN pengguna dapat mengakses semua tangkapan layar yang tersimpan dari jarak jauh, meskipun sistem mengandalkan langkah-langkah keamanan Windows Hello Enhanced Sign-On . Bypass autentikasi ini secara signifikan memperkuat dampak potensial dari data apa pun yang lolos melalui sistem penyaringan, karena informasi sensitif menjadi dapat diakses tidak hanya secara lokal tetapi dari lokasi jarak jauh.
Kerentanan Akses Jarak Jauh:
- Bypass autentikasi melalui PIN alih-alih verifikasi biometrik
- Akses jarak jauh penuh ke semua data tangkapan layar setelah terautentikasi
- Mempengaruhi semua pengguna Copilot+ PC dengan Recall yang diaktifkan
Perjuangan Berkelanjutan Microsoft dengan Keamanan Recall
Penilaian keamanan terbaru ini menyoroti tantangan berkelanjutan Microsoft dalam membuat Recall aman untuk penggunaan luas. Awalnya diluncurkan pada tahun 2024 sebagai fitur eksklusif untuk PC Copilot+ , Recall dengan cepat ditarik setelah peneliti keamanan menemukan bahwa data sensitif disimpan dalam database teks biasa. Versi yang lebih aman dari perusahaan yang dirilis pada musim gugur 2024 jelas belum menyelesaikan semua masalah privasi dan keamanan mendasar yang mengganggu fitur tersebut.
Kronologi Masalah Keamanan Recall:
- Peluncuran Awal 2024: Fitur dirilis untuk PC Copilot+
- Masalah Awal 2024: Peneliti keamanan menemukan penyimpanan data dalam bentuk teks biasa
- Musim Gugur 2024: Microsoft merilis "versi yang lebih aman"
- Agustus 2025: Pengujian baru mengungkap kegagalan penyaringan yang masih berlanjut
Ahli Industri Merekomendasikan Menonaktifkan Fitur
Mengingat kelemahan keamanan yang persisten dan perilaku penyaringan yang tidak dapat diprediksi, ahli keamanan siber terus merekomendasikan agar pengguna menonaktifkan Recall sepenuhnya daripada mengambil risiko paparan informasi pribadi sensitif. Ketidakmampuan fitur untuk secara andal mengidentifikasi dan melindungi cara-cara tak terhitung yang digunakan orang untuk menyimpan dan mereferensikan data pribadi membuatnya pada dasarnya tidak cocok untuk lingkungan yang berisi informasi sensitif, meskipun promosi menonjol Microsoft terhadap fitur tersebut selama proses pengaturan Windows 11 .
 |
|---|
| Gambar promosi untuk Microsoft OneDrive , yang mewakili konteks teknologi di mana Recall beroperasi dan perlunya kehati-hatian pengguna |