Microsoft Sicurezza: Protezione Avanzata contro il Rischio di Furto di Carte di Credito e Password

Microsoft Sicurezza: Protezione Avanzata contro il Rischio di Furto di Carte di Credito e Password

vulnerabilità nella cattura di dati sensibili

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

Microsoft Recall, la nuova applicazione esclusiva per PC Copilot+ che acquisisce automaticamente screenshot di tutte le attività svolte sul dispositivo, si presenta come un’innovazione tecnologica con potenzialità significative per migliorare l’esperienza utente tramite ricerche future. Tuttavia, test approfonditi evidenziano gravi vulnerabilità nella gestione dei dati sensibili, mettendo a rischio numeri di carte di credito, password e informazioni personali. Nonostante l’implementazione di filtri progettati specificamente per escludere contenuti riservati dalla cattura automatica, il sistema mostra una fragilità preoccupante, incapace di evitare l’esposizione di dati critici in diverse situazioni d’uso reale, concedendo così una significativa finestra di opportunità per attività di cybercriminalità.

Durante sessioni di utilizzo di servizi bancari online, Recall ha catturato schermate contenenti informazioni pari a saldi e dettagli dei depositi, mettendo in chiaro quali istituti finanziari vengono utilizzati dall’utente e quali somme possiede. Sebbene siano stati esclusi dati strettamente confidenziali come numeri di conto e codici di routing, tali informazioni parziali possono già risultare preziose per potenziali aggressori. Sul fronte delle carte di credito, il sistema si affida eccessivamente a indicatori testuali specifici per filtrare le informazioni sensibili: elementi come “pagina di checkout” oppure la dicitura “CC:” sono rilevati e adeguatamente oscurati, ma la rimozione o la modifica di questi riferimenti causa il fallimento del filtro, con la conseguente acquisizione completa dei dati.

La gestione delle password e delle credenziali presenta ulteriori criticità. Sebbene Recall riconosca e filtri correttamente schermate di password manager come Google Chrome e testi contenenti etichette esplicite, non riesce a evitare la cattura quando credenziali sono elencate senza indicatori chiari. Questo deficit rivela quanto il sistema si basi su pattern testuali rigidi piuttosto che su meccanismi avanzati di riconoscimento dei dati sensibili, esponendo gli utenti a rischi consistenti in caso di memorizzazione non strutturata di informazioni confidenziali.

lacune nella protezione di carte di credito e password

Le lacune nella protezione delle carte di credito e delle password da parte di Recall si manifestano in modo evidente nelle situazioni dove i filtri dipendono esclusivamente da indicatori testuali specifici. In contesti di pagamento online, il software riesce a bloccare adeguatamente la cattura di campi chiaramente identificati, come nel caso del sito Microsoft, dove moduli con etichette esplicite mostrano numeri di carta, CVC e date spogliati da dati effettivi. Tuttavia, quando tali riferimenti vengono rimossi o alterati, il sistema registra integralmente i dati sensibili, mettendo a nudo una vulnerabilità critica del filtro basato sulle parole chiave.

Per quanto riguarda le password e le credenziali, il filtro implementato dimostra efficacia solo in presenza di parole chiave standard come “username” e “password”. Se tali credenziali sono archiviate in file di testo senza queste etichette – una pratica comune tra gli utenti – Recall procede indisturbato alla cattura delle immagini, creando un pericolo concreto per la privacy. Inoltre, pur bloccando la cattura di password all’interno di password manager o tramite strumenti di cattura di sistema, il software non dispone di un algoritmo raffinato per riconoscere la natura sensibile dei dati basandosi sul contenuto reale, ma dipende rigidamente dalla presenza di segnali testuali.

Questa dipendenza da segnali espliciti non solo riduce l’efficacia del filtro, ma mette in evidenza come gli utenti che non adottano standard rigorosi nella gestione delle proprie informazioni sensibili rischino di vederle esposte senza alcun tipo di preavviso. La stessa fragilità si ripropone nell’identificazione dei numeri di previdenza sociale o di documenti d’identità, che vengono catturati o esclusi in modo inconsistente a seconda del contesto testuale disponibile, dimostrando l’assenza di un sistema robusto di analisi dei dati personali all’interno di Recall.

reazioni di microsoft e implicazioni per la privacy

Microsoft ha adottato un atteggiamento cauto nei confronti delle criticità emerse, limitandosi a riconoscere che il filtro per i dati sensibili di Recall è un sistema in continuo sviluppo e miglioramento. Nel post ufficiale pubblicato nel novembre 2023, i Product Manager Amanda Langowski e Brandon LeBlanc hanno invitato gli utenti a segnalare tramite il Feedback Hub eventuali situazioni in cui informazioni riservate dovrebbero essere protette in modo più efficace, evidenziando l’approccio iterativo e partecipativo di Microsoft per affrontare le fragilità del sistema.

Dal punto di vista della sicurezza, dopo il clamore suscitato nel giugno 2024 dal ricercatore Kevin Beaumont, che denunciò la memorizzazione in chiaro dei dati, Microsoft ha temporaneamente sospeso la distribuzione della funzionalità per implementare importanti aggiornamenti. Tra le misure adottate spiccano la crittografia completa degli screenshot e dei database, memorizzati ora in un ambiente protetto Virtualization-based Security Enclave (VBS), e l’introduzione dell’autenticazione tramite Windows Hello per l’accesso alla cronologia di Recall. Tuttavia, questa protezione dipende dall’affidabilità del codice PIN scelto dall’utente, che in molti casi risulta vulnerabile a tentativi di accesso non autorizzati.

Un ulteriore elemento di rischio riguarda l’accesso remoto: test condotti con software come TeamViewer hanno rivelato che, una volta acquisito il PIN, è possibile visualizzare l’intera cronologia degli screenshot da dispositivi esterni, superando di fatto il limite della sicurezza fisica del PC. Questo scenario sottolinea criticità importanti soprattutto per gli utenti più vulnerabili.

La dimensione della privacy solleva dubbi sostanziali, in particolare per categorie sensibili come le vittime di violenza domestica. Secondo Peter Snyder, privacy researcher di Brave Software, la possibilità che un partner abusivo acceda a dati dettagliati sulla navigazione o alle schermate che mostrano ricerche di aiuto, attiva un pericolo concreto e immediato per la sicurezza personale. Tale contesto evidenzia come Recall manchi di meccanismi di controllo granulari che possano escludere automaticamente contenuti delicati, rendendo problematico per i software di privacy esprimere adeguate protezioni e preservare la riservatezza degli utenti.

 

Sostieni Assodigitale.it nella sua opera di divulgazione

Grazie per avere selezionato e letto questo articolo che ti offriamo per sempre gratuitamente, senza invasivi banner pubblicitari o imbarazzanti paywall e se ritieni che questo articolo per te abbia rappresentato un arricchimento personale e culturale puoi finanziare il nostro lavoro con un piccolo sostegno di 1 chf semplicemente CLICCANDO QUI.

Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.