Microsoft akan segera meluncurkan fitur Recall baru yang didukung oleh kecerdasan buatan (AI) yang akan mengambil tangkapan layar dari segala hal yang Anda lakukan di PC Anda. Recall merupakan bagian dari PC Copilot Plus baru yang akan diluncurkan pada tanggal 18 Juni, namun para ahli yang telah menguji fitur tersebut sudah memperingatkan bahwa Recall bisa menjadi “bencana” bagi keamanan cyber. Recall dirancang untuk menggunakan model kecerdasan buatan lokal untuk mengambil tangkapan layar dari segala hal yang Anda lihat atau lakukan di komputer Anda dan memberi Anda kemampuan untuk mencari dan mengambil kembali informasi dalam hitungan detik. Bahkan ada timeline yang dapat Anda jelajahi. Semua yang ada di Recall dirancang untuk tetap lokal dan pribadi di perangkat, sehingga tidak ada data yang digunakan untuk melatih model AI Microsoft.
Meskipun Microsoft berjanji akan pengalaman Recall yang aman dan terenkripsi, ahli keamanan cyber Kevin Beaumont menemukan bahwa fitur yang didukung AI ini memiliki beberapa kelemahan keamanan potensial. Beaumont, yang sempat bekerja di Microsoft pada tahun 2020, telah menguji Recall selama seminggu terakhir dan menemukan bahwa fitur tersebut menyimpan data dalam basis data dalam teks biasa. Hal ini dapat memudahkan penyerang untuk menggunakan malware untuk mengekstrak basis data dan isinya. “Setiap beberapa detik, tangkapan layar diambil. Ini secara otomatis di-OCR oleh Azure AI, yang berjalan di perangkat Anda, dan ditulis ke dalam basis data SQLite di folder pengguna,” jelas Beaumont dalam sebuah pos blog rinciannya. “File basis data ini memiliki catatan dari segala sesuatu yang pernah Anda lihat di PC Anda dalam teks polos.”
Beaumont berbagi contoh dari basis data teks polos di X, menegur Microsoft karena memberitahu media bahwa seorang hacker tidak dapat mengekstrak aktivitas Recall secara remote. Basis data disimpan secara lokal di PC, tetapi dapat diakses dari folder AppData jika Anda adalah admin di PC. Dua insinyur Microsoft baru-baru ini memperlihatkan hal ini di Build, dan Beaumont mengklaim basis data tersebut dapat diakses bahkan jika Anda bukan admin.
Ketakutan adalah bahwa Recall membuat lebih mudah bagi malware dan penyerang untuk mencuri informasi. Trojan InfoStealer sudah ada untuk mencuri kredensial dan informasi dari PC, dan para hacker saat ini mendistribusikan jenis malware ini untuk mencuri dan menjual informasi. “Recall memungkinkan pelaku ancaman untuk mengotomatisasi penyarian segala sesuatu yang pernah Anda lihat dalam hitungan detik,” kata Beaumont. Beaumont telah mengekstrak basis data Recall miliknya dan membuat situs web di mana Anda dapat mengunggah basis data dan langsung mencarinya. “Saya dengan sengaja menahan detail teknis hingga Microsoft meluncurkan fitur tersebut karena saya ingin memberi mereka waktu untuk melakukan sesuatu,” katanya.
Microsoft saat ini berencana untuk mengaktifkan Recall secara default di PC Copilot Plus. Dalam pengujian saya sendiri pada versi pra-rilis Recall, fitur ini diaktifkan secara default saat Anda mengatur PC Copilot Plus baru, dan tidak ada opsi untuk menonaktifkannya selama proses pengaturan kecuali Anda mencentang opsi yang kemudian membuka panel Pengaturan. Microsoft dilaporkan sedang mendiskusikan apakah akan mengubah proses pengaturan ini, meskipun.
Reaksi terhadap pengumuman Recall oleh Microsoft telah cepat, dengan para pembela privasi menyebutnya sebagai “kemungkinan mimpi buruk privasi” dan Kantor Komisaris Informasi Inggris ikut campur untuk melakukan penyelidikan dengan Microsoft terkait penggunaan fitur yang didukung AI ini. Microsoft bersikeras bahwa Recall adalah pengalaman opsional dan bahwa mereka telah membangun kontrol privasi ke dalam fitur tersebut. Anda dapat menonaktifkan URL dan aplikasi tertentu, dan Recall tidak akan menyimpan materi yang dilindungi dengan alat manajemen hak digital. “Recall juga tidak mengambil snapshot dari jenis konten tertentu, termasuk sesi penjelajahan web InPrivate di Microsoft Edge, Firefox, Opera, Google Chrome, atau browser berbasis Chromium lainnya,” kata Microsoft pada halaman FAQ penjelasannya.
Namun, Recall tidak melakukan moderasi konten, sehingga tidak akan menyembunyikan informasi seperti kata sandi atau nomor rekening keuangan dalam tangkapan layar. “Data tersebut mungkin ada dalam snapshot yang disimpan di perangkat Anda, terutama ketika situs tidak mengikuti protokol internet standar seperti menyembunyikan masukan kata sandi,” peringatkan Microsoft.
Halaman FAQ Microsoft tidak mengatasi potensi malware untuk mencoba dan mencuri basis data Recall. “Snapshot Recall disimpan di PC Copilot Plus itu sendiri, di hard disk lokal, dan dilindungi menggunakan enkripsi data di perangkat Anda dan (jika Anda memiliki Windows 11 Pro atau SKU Windows 11 perusahaan) BitLocker,” kata Microsoft.
Seperti yang ditunjukkan Beaumont, enkripsi disk hanya berguna untuk skenario tertentu. “Ketika Anda masuk ke PC dan menjalankan perangkat lunak, hal-hal dienkripsi untuk Anda,” jelaskan Beaumont. “Enkripsi saat beristirahat hanya berguna jika seseorang datang ke rumah Anda dan mencuri laptop Anda secara fisik – itu bukanlah yang dilakukan hacker kriminal.”
Fitur timeline Recall. Gambar: Microsoft
Mungkin Microsoft akan menemukan dirinya perlu untuk memperbaiki Recall, atau mengingatnya, jika Anda suka. Jelas terdapat beberapa celah yang jelas dalam cara data disimpan di sini yang perlu diatasi, dan membuat ini menjadi pengalaman opsional membuat para pembela privasi khawatir. Peluncuran Recall datang hanya beberapa minggu setelah CEO Microsoft Satya Nadella meminta kepada karyawan untuk menjadikan keamanan sebagai “prioritas utama” Microsoft, bahkan jika itu berarti mengutamakan keamanan di atas fitur baru.
“Jika Anda dihadapkan pada trade-off antara keamanan dan prioritas lain, jawaban Anda jelas: Lakukan keamanan,” kata Nadella (penekanan miliknya) dalam memo internal yang diperoleh oleh The Verge. “Dalam beberapa kasus, ini akan berarti mengutamakan keamanan di atas hal lain yang kita lakukan, seperti merilis fitur baru atau memberikan dukungan berkelanjutan untuk sistem warisan.”
The Verge menghubungi Microsoft untuk berkomentar tentang kekhawatiran keamanan dan privasi dengan Recall, namun perusahaan tidak menjawab tepat waktu untuk publikasi.