يقول Hagenah إن المهاجم يمكن أن يحصل على كمية هائلة من المعلومات حول هدفه، بما في ذلك رؤى حول رسائل البريد الإلكتروني والمحادثات الشخصية وأي معلومات حساسة يتم التقاطها بواسطة Recall.
يعتمد عمل هاجينا على النتائج التي توصل إليها باحث الأمن السيبراني كيفن بومونت، الذي قام بتفصيل مقدار المعلومات التي تلتقطها شركة Recall ومدى سهولة استخراجها. ويقول بومونت أيضًا إنه أنشأ موقعًا إلكترونيًا يمكن من خلاله تحميل قاعدة بيانات الاستدعاء والبحث فيها على الفور. ويقول إنه لم يطلق الموقع بعد، لإتاحة الوقت لمايكروسوفت لتغيير النظام. كتب بومونت: “تمثل أحصنة طروادة InfoStealer، التي تسرق أسماء المستخدمين وكلمات المرور تلقائيًا، مشكلة كبيرة لأكثر من عقد من الزمن – والآن يمكن تعديلها بسهولة لدعم عملية الاسترجاع”.
وتأتي الانتقادات في الوقت الذي أدت فيه عمليات اختراق أنظمة مايكروسوفت إلى حدوث خروقات مختلفة لبيانات الحكومة الأمريكية؛ وقال ناديلا إن الأمن يجب أن يكون “الأولوية القصوى” لشركة مايكروسوفت. لم تستجب Microsoft لطلب WIRED للتعليق حول ميزات أمان Recall بحلول وقت النشر.
تقول صفحات خصوصية Recall أنه من الممكن تعطيل حفظ لقطات الشاشة (إيقاف تشغيل Recall بشكل فعال)، وإيقاف النظام مؤقتًا، وتصفية التطبيقات التي يتم التقاط لقطات الشاشة فيها، وحذف ما تم جمعه في أي وقت. يعمل برنامج Recall على الكمبيوتر المحمول نفسه، حيث يقوم بتخزين البيانات التي يلتقطها على الجهاز ولا يرسل هذه المعلومات إلى خوادم Microsoft. وتقول هاجيناه إن هذا الادعاء يبدو صحيحًا، مع عدم وجود أي علامات تشير إلى إرسال البيانات إلى مايكروسوفت.
تدرك Microsoft، على الأقل، بعض المشكلات المحتملة المتعلقة بالخصوصية والأمان فيما يتعلق بالاستدعاء: تقول صفحات المساعدة الخاصة بها إن النظام لا يقوم بأي إشراف على المحتوى على ما هو موجود في الصور التي يحفظها. وهذا يعني، كما تقول مايكروسوفت في الدليل، أنها لن “تخفي معلومات مثل كلمات المرور أو أرقام الحسابات المالية”. لقد تمكن الباحثون الأمنيون بالفعل من استخراج كلمات المرور من Recall.
يتم تخزين قاعدة بيانات Recall الرئيسية في دليل نظام الكمبيوتر المحمول، وبينما تحتاج إلى حقوق المسؤول للوصول إليها، فإن هجمات تصعيد الامتيازات موجودة منذ سنوات، مما يجعل من الممكن نظريًا للمهاجم الوصول الأولي إلى الجهاز عن بُعد.
يقول هاجينا إنه في حالات أصحاب العمل الذين يتبعون سياسات “إحضار أجهزتك الخاصة”، هناك خطر من مغادرة شخص ما لكميات هائلة من بيانات الشركة المحفوظة على أجهزة الكمبيوتر المحمولة الخاصة بهم. ويقول إن هذا يمثل خطرًا خاصًا إذا كانوا ساخطين أو غادروا بشروط سيئة. طلب منظم حماية البيانات في المملكة المتحدة، مكتب مفوض المعلومات، من Microsoft تقديم مزيد من التفاصيل حول برنامج Recall وخصوصيته.
في حين أن ميزة Recall تظل بمثابة ميزة “معاينة”، ويمكن أن تتغير قبل إطلاقها، وفقًا لخطة Microsoft الصغيرة، فقد كتب بومونت في بحثه أن الشركة “يجب أن تستدعي ميزة Recall وتعيد صياغتها لتكون الميزة التي تستحقها، ويتم تقديمها في وقت قياسي”. تاريخ لاحق.” ويضيف: “إنهم بحاجة أيضًا إلى مراجعة عملية صنع القرار الداخلي التي أدت إلى هذا الوضع، إذ لا ينبغي أن يحدث هذا النوع من الأمور”.