Copilot+ Recall सिर्फ 2 लाइनों के कोड से Windows पर आपकी हर टाइप की गई और देखी गई चीज़ चुरा सकता है

 (doublepulsar.com)
15 पॉइंट द्वारा GN⁺ 2024-06-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Copilot+ Recall: Microsoft Windows 11 का एक नया फीचर, जो यूज़र के PC स्क्रीन को लगातार कैप्चर करके सारी गतिविधि को एक searchable database में बदल देता है।
  • यह यूज़र को पहले देखी गई हर चीज़ को आसानी से खोजने देता है।
  • ज़्यादातर यूज़र्स ने इस फीचर पर नकारात्मक प्रतिक्रिया दी है, क्योंकि इससे privacy को लेकर चिंता और निजी जीवन में दखल की संभावना पैदा होती है।

Copilot+ Recall के संभावित उपयोगकर्ता

  • बहुत सारे काम और समय की कमी से जूझ रहे कंपनी मैनेजर के लिए यह उपयोगी हो सकता है, क्योंकि वे एक महीने पहले किसी खास विषय पर क्या किया था, उसे तुरंत खोज सकते हैं।
  • लेकिन यह Windows user base का बहुत छोटा हिस्सा है।
  • ज़्यादातर Windows यूज़र गेम खेलना, porn देखना, गलतियाँ करना और इंसान की तरह जीना चाहते हैं।
  • यह सोच कि कोई और आपके डिवाइस तक पहुँचकर आपकी तस्वीरों में दर्ज निजी यादों को देख सकता है, बहुत से लोगों के लिए गहरे स्तर पर डरावनी है।

Microsoft की गलती

  • Microsoft AI के नाम पर, और अपने असली ग्राहकों को नुकसान पहुँचाने वाले तरीके से, खुद को ही चोट पहुँचा रहा है।
  • यह पूरे Copilot brand को नुकसान पहुँचा सकता है।
  • इसमें कहा गया है कि यह फीचर Windows के security promises को बुनियादी स्तर पर तोड़ता है।

[ Copilot+ Recall की सुरक्षा समस्याओं पर Q&A ]

Q. क्या डेटा पूरी तरह लोकल रूप से laptop पर process नहीं होता?

  • हाँ। Azure AI जैसी चीज़ों का code edge पर process हो, इसके लिए समझदारी भरा फैसला लिया गया।

Q. तो फिर hacker और malware इसे access नहीं कर सकते, सही?

  • नहीं, वे access कर सकते हैं।

Q. लेकिन यह encrypted तो है?

  • जब आप PC में login करके software चलाते हैं, तो यह आपके लिए decrypt हो जाता है।
  • storage के समय encryption सिर्फ तब मदद करती है जब कोई physically laptop चुरा ले जाए।
  • InfoStealer trojan जैसी चीज़ें 10 साल से भी ज़्यादा समय से बड़ी समस्या रही हैं, और अब इन्हें Recall को support करने के लिए आसानी से modify किया जा सकता है।

Q. लेकिन Microsoft ने कहा था कि सिर्फ यूज़र ही डेटा access कर सकता है?

  • यह सच नहीं है। यह दिखाया जा सकता है कि उसी डिवाइस के दूसरे user account भी database तक पहुँच सकते हैं।

Q. तो फिर यह काम कैसे करता है?

  • हर कुछ सेकंड में screenshot लिया जाता है।
  • Azure AI अपने-आप OCR करके इसे user folder के SQLite database में रिकॉर्ड करता है।
  • इस database file में यूज़र ने PC पर जो कुछ भी देखा है, उसका रिकॉर्ड plain text में सेव रहता है।

Q. Database कैसा दिखता है?

  • Microsoft ने media के ज़रिए कहा कि hacker Copilot+ Recall activity को remotely exfiltrate नहीं कर सकते।
  • लेकिन असल में यह एक plain text database है, जिसमें PC पर देखी गई हर चीज़ होती है। इसे बहुत आसानी से automate करके बाहर निकाला जा सकता है।

Q. Database file कहाँ मिलती है?

  • ये AppData के नए CoreAIPlatform folder में मौजूद files हैं।

Q. लेकिन यह बहुत मज़बूती से encrypted है, तो कोई access नहीं कर सकता, है ना?!

  • Microsoft के दो engineers के उस video में देखा जा सकता है, जिसमें वे Recall database folder तक पहुँचकर SQLite database को hack करते हैं।
  • इसके लिए system privileges की भी ज़रूरत नहीं होती।

Q. लेकिन आम यूज़र तो administrator के रूप में run नहीं करते!

  • Microsoft की अपनी website के Recall launch page के मुताबिक ऐसा कहा गया है।
  • असल में database पढ़ने के लिए admin होना भी ज़रूरी नहीं है।

Q. लेकिन उस video में UAC prompt आया था, क्या वह security boundary नहीं है?

  • Microsoft की अपनी website और MSRC के मुताबिक UAC कोई security boundary नहीं है।

Q. तो फिर यहाँ security है कहाँ?

  • असल दुनिया में इसमें इतने बड़े gaps हैं कि उनमें से हवाई जहाज़ भी निकल जाए, इसलिए यह ठीक से काम नहीं करता।

Q. क्या financial information जैसी चीज़ों का भी अपने-आप screenshot और OCR हो जाता है?

  • नहीं।
  • documents के मुताबिक Recall content redact नहीं करता।
  • यह password या bank account number जैसी चीज़ों को hide नहीं करता।
    • अगर संबंधित site standard internet protocol का पालन नहीं करती हो, जैसे password को * से mask करना।

Q. Database का size कितना है?

  • यह अच्छी तरह compress हो जाता है, और कई दिनों के काम का data लगभग 90kb के आसपास होता है।
  • एक औसत broadband connection पर कुछ ही सेकंड में महीनों के documents और key input बाहर निकाले जा सकते हैं।

Q. Search speed कैसी है?

  • डिवाइस के अंदर यह बहुत तेज़ है।

Q. क्या आपने अपना Recall database exfiltrate करके देखा है?

  • हाँ। मैंने automated exfiltration किया और database upload करके उसे तुरंत search करने वाली एक website भी बनाई।
  • Microsoft को फीचर launch होने तक समय देने के लिए तकनीकी details जानबूझकर सार्वजनिक नहीं की गई हैं।
  • दिखाने के लिए बहुत कुछ है, और मेरा मानना है कि जब यह फीचर आम लोगों के लिए खुलेगा तो ज़्यादा cyber communities इसे बहुत रुचि से इस्तेमाल करेंगी, लेकिन इससे वास्तविक नुकसान हो सकता है, इसलिए यह सच में दुखद है।

Q. Database में किस तरह की चीज़ें होती हैं?

  • यूज़र ने जो कुछ भी देखा, वह application के हिसाब से sorted रहता है।
  • यूज़र ने जो भी text देखा (Microsoft Edge InPrivate mode को छोड़कर, लेकिन Google Chrome इससे बाहर नहीं है)।
  • window minimize जैसी हर तरह की user interaction।
  • एक user activity API है, और third-party apps data को बढ़ा सकती हैं और stored data देख सकती हैं।
  • third-party होने पर भी visited websites की पूरी सूची सेव रहती है।

Q. अगर email/WhatsApp/Signal/Teams message delete कर दिए जाएँ, तो क्या वे Recall से भी हट जाते हैं?

  • नहीं, वे database में अनिश्चितकाल तक बने रहते हैं।

Q. Messaging apps में auto-delete होने वाले messages Recall से हटते हैं?

  • नहीं, Recall उन्हें scrape करके इस्तेमाल करने लायक बनाए रखता है।

Q. तो क्या इससे websites से बड़े पैमाने पर data breach संभव है?

  • हाँ। आगे चलकर अगर ऐसा कोई बड़ा breach होता है जिसमें customer data साफ़ तौर पर leak हुआ हो, तो मैं मानूँगा कि data process करने वाली company की ज़िम्मेदारी है।
  • लेकिन अगर किसी service/app को Recall वाले Windows डिवाइस से access किया गया है, तो hacker सब कुछ देख सकता है और service चलाने वाली company को बिना पता चले भी data dump बना सकता है।
  • Data पहले से ही Recall database में लगातार structured रूप में मौजूद रहता है, इसलिए attackers के लिए इसका इस्तेमाल आसान है।
  • AI-आधारित mega-scale leak incidents के लिए तैयार रहना चाहिए।

Q. क्या Microsoft ने BBC को Copilot की security के बारे में ग़लतफ़हमी में रखा?

  • हाँ।

Q. क्या Microsoft ने अपने customers को Copilot की security के बारे में ग़लतफ़हमी में रखा?

  • हाँ। उदाहरण के लिए, इसे optional experience बताया जाता है, लेकिन यह default रूप से enabled है और लोग चाहें तो बाद में इसे disable कर सकते हैं।
  • Microsoft के CEO ने इस product को "screenshot" कहा, लेकिन product खुद सिर्फ "snapshot" शब्द का इस्तेमाल करता है।
  • Microsoft को साफ़-साफ़ बताना चाहिए कि यह क्या है, ताकि customer informed choice कर सकें।

Q. क्या Recall सिर्फ एक hardware device पर ही लागू होता है?

  • यह सच नहीं है। अभी सभी बड़े manufacturers से order किए जा सकने वाले 10 Copilot+ devices मौजूद हैं।
  • Microsoft की website यह भी कहती है कि AMD और Intel chipset support पर काम चल रहा है।
  • Recall को Windows 11 पर लागू किया जाना है।

Q. Recall को disable कैसे करें?

  • Compatible Copilot+ device के initial setup के दौरान Recall disable करने का option क्लिक करना होगा।
  • Enterprise में यह default रूप से enabled रहता है, इसलिए Recall बंद करने के लिए policy setting चाहिए: Turn off Saving Snapshots for Windows

Q. Privacy impact क्या है? क्या यह GDPR का उल्लंघन नहीं है?

  • मैं privacy या legal expert नहीं हूँ।
  • जिन privacy experts से मैंने बात की, वे खासकर domestic violence जैसी परिस्थितियों में households पर इसके असर को लेकर बहुत चिंतित हैं।
  • कंपनियों को अपने customer data को इस तरह process करने के जोखिम पर विचार करना चाहिए।
  • Microsoft यह कहकर ज़िम्मेदारी से बच सकता है कि processing edge device पर होती है, इसलिए वह data processor नहीं है।

Q. क्या Microsoft एक बड़ी और बुरी company है?

  • नहीं।
  • वहाँ बहुत बुद्धिमान लोग हैं, और कभी-कभी बहुत बुद्धिमान लोग भी गलती करते हैं। अहम बात यह है कि वे अपनी गलती पहचानते हैं या नहीं, और उसके बाद क्या करते हैं।

Q. क्या आप Microsoft से नफ़रत करने वाले ex-employee नहीं थे?

  • नहीं, मैंने तो इसी महीने Microsoft की तारीफ़ में एक blog भी लिखा था।

Q. क्या यह सच में उतना ही हानिकारक है जितना आप सोचते हैं?

  • अपने माता-पिता, दादा-दादी के घर जाएँ, उनके Windows PC देखें, पिछले 1 साल में install हुए software देखें, डिवाइस इस्तेमाल करके देखें, और antivirus scan चलाएँ।
  • 1 trillion dollar का security industry यूँ ही नहीं है; ज़्यादातर समस्याएँ malware और endpoint के इर्द-गिर्द होने की वजह है।

Q. Microsoft को क्या करना चाहिए?

  • मेरी राय में Recall को वापस लेना चाहिए और बाद में देने लायक ठीक तरह से दोबारा बनाना चाहिए।
  • साथ ही उन internal decisions की भी समीक्षा होनी चाहिए जिनसे यह स्थिति पैदा हुई।
  • इस महीने की शुरुआत में Microsoft CEO ने सभी कर्मचारियों को email भेजकर कहा था, "अगर आपको security और दूसरी priorities में से चुनना पड़े, तो जवाब साफ़ है। security चुनें।"
  • अब पता चलेगा कि क्या वह अपनी ही email की बात को गंभीरता से लेते हैं।
  • अभी झटका सहकर विनम्र होना बेहतर है, नहीं तो Copilot और security brand पर customer trust को जोखिम में डाला जा सकता है।
  • सच कहूँ तो बहुत कम customer ऐसे होंगे जो Recall तुरंत इस्तेमाल न कर पाने पर रोएँगे, लेकिन अगर Microsoft की प्रतिक्रिया कुछ न करना, product launch कर देना, हल्का-सा patch लगा देना, या media में मामले को घुमा देना है, तो यह गंभीर चिंता की बात होगी।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-02
Hacker News राय

  • Microsoft की रणनीति: Microsoft फिलहाल ऐसा तरीका अपना रहा है जिसमें वह शुरुआत में बहुत आक्रामक ढंग से आगे बढ़ता है और बाद में थोड़ा नरम समाधान पेश करके अपना लक्ष्य हासिल करने की कोशिश करता है.

  • Windows और ChromeOS का अनुभव: Microsoft में पहले काम कर चुके अनुभव के आधार पर, Windows कोई बुरा operating system नहीं था. लेकिन ChromeOS आज़माने के बाद आखिरकार Debian पर वापस लौट आया.

  • Linux की ओर बदलाव: हाल ही में Framework 16 laptop पर Arch Linux और Steam इंस्टॉल करके गेम्स बिना दिक्कत चला रहा हूँ. अब लगता है कि Microsoft प्रोडक्ट्स से पूरी तरह बाहर निकल आया हूँ.

  • Microsoft की छवि में बदलाव: GitHub अधिग्रहण और Linux subsystem जोड़ने के बाद Microsoft एक कूल कंपनी लगने लगी थी, लेकिन हाल की Recall feature और Windows 10 इंस्टॉल करते समय अनिवार्य account login की वजह से फिर से नकारात्मक धारणा बन गई.

  • Recall feature की समस्याएँ: पहले Microsoft third-party software के साथ compatibility बनाए रखने की कोशिश करता था, लेकिन अब users की privacy में दखल देने वाला Recall feature लाकर निराश किया है.

  • Steve Jobs और Microsoft: Steve Jobs समझते थे कि लोग products के बारे में कैसा महसूस करते हैं, लेकिन Microsoft ऐसा नहीं करता. पहले भी वह users की भावनाओं का ध्यान नहीं रखता था, और लगता है अब भी नहीं बदला.

  • Privacy चिंता: privacy की समस्या गंभीर है, और स्थिति और खराब होने से पहले इसमें सुधार होने की संभावना है. लेकिन अगर यह feature अच्छी तरह लागू हुआ, तो यह modern AI का killer app बन सकता है.

  • जानकारी तक पहुँच का महत्व: अच्छी information access एक बहुत ताकतवर क्षमता है. निजी जानकारी बहुत मूल्यवान होती है, और इसे स्टोर करके अपने-आप access करने का तरीका चाहिए. समय के साथ लोगों को इसके अनुसार ढलना पड़ सकता है.

  • जासूसी उपकरण: 2017 में लोग स्वेच्छा से जासूसी उपकरण अपने घरों में ला रहे थे, और 2024 में keylogger सक्रिय कर रहे हैं.

  • फ़िल्म 'Antitrust' और हकीकत: 2001 की फ़िल्म 'Antitrust' में Microsoft जैसी एक कंपनी सभी computers की निगरानी करती है और code चुराती है. 23 साल बाद, यह हकीकत बन गई.