Signal mesajlaşma uygulaması, Windows Masaüstü sürümünü kullanan kullanıcılarını, Windows 11 ile kullanıma sunulan yapay zeka destekli 'Recall' özelliği tarafından mesaj gizliliklerinin tehdit altında olduğu konusunda uyarıyor. Recall, kullanıcının bilgisayarında yaptığı hemen her şeyin ekran görüntüsünü alıp saniyeler içinde kaydederek dizinliyor ve depoluyor.
Bu gelişme üzerine Signal'ın Windows sürümü, varsayılan olarak Windows'un uygulama içindeki içeriğin ekran görüntüsünü almasını engelleyecek şekilde güncellendi. Signal kullanıcıları, mesajlaşma geçmişlerini kaydetmek veya görme engelli kullanıcılar için erişilebilirlik özelliklerinden faydalanmak gibi nedenlerle bu engeli kaldırmak isterlerse, masaüstü uygulaması içindeki ayarları değiştirmeleri gerekecek.
Bir API Olsa Her Şey Farklı Olurdu
Signal yetkilileri, "Microsoft, son on iki ay içinde gelen eleştirilere yanıt olarak birkaç ayarlama yapmış olsa da, Recall'ın yenilenmiş sürümü hala Signal gibi gizliliği koruyan uygulamalarda görüntülenen herhangi bir içeriği riske atıyor" dedi. "Sonuç olarak, Windows 11'de ek bir koruma katmanını varsayılan olarak etkinleştiriyoruz. Bu, kullanılabilirlik açısından bazı ödünleşimlere yol açsa da, Signal Masaüstü'nün bu platformdaki güvenliğini korumaya yardımcı olacaktır. Microsoft bize başka seçenek bırakmadı."
Recall, Mayıs 2024'te tanıtıldığında, güvenlik ve gizlilik uzmanları hızlıca hem Windows kullanıcıları hem de Windows kullanıcılarıyla etkileşimde bulunan diğer platformlardaki kişiler için aşırı riskler oluşturduğu konusunda uyardı. Eleştirilerin çoğu belirli tasarım kusurlarına dayanıyordu: Recall varsayılan olarak açıktı, ekran görüntüleri ve OCR verileri (metin tanıma) düz metin olarak depolanıyordu ve kullanıcı sistem haklarına sahip herhangi bir uygulama tarafından erişilebiliyordu. Ayrıca, bu devasa veri havuzuna çekilen içeriği sınırlamak için çok az sayıda hassas araç sağlıyordu.
Son zamanların en büyük halkla ilişkiler krizlerinden biriyle karşılaşan Microsoft, Recall'u ekledikten sadece birkaç ay sonra Windows 11 önizlemelerinden geri çekti. Geçtiğimiz ay ise özelliği önemli ölçüde elden geçirilmiş bir sürümle yeniden kullanıma sundu.
Yenilenen Recall, ilk sürümdeki düşünülmemiş tasarımların birçoğunu düzeltmek için önemli adımlar attı. Recall artık varsayılan olarak açık yerine etkinleştirmeye bağlı (opt-in) hale getirildi. Recall verilerini depolayan veritabanı artık şifrelenmişti ve anahtarlar Windows'tan ayrı güvenli bir yuvada (secure enclave) korunuyordu. Ayrıca, araç artık dizinlediği içerik türünü sınırlamak için belirli bir düzeyde kullanıcı kontrolü sağlıyordu.
Ancak bu değişiklikler, Recall'ın oluşturduğu riskleri sınırlamada ancak bu kadar ileri gidebiliyor. Recall etkinleştirildiğinde, sadece kullanıcının değil, o kullanıcıyla etkileşimde bulunan herhangi birinin bilgisi veya rızası olmadan Zoom toplantılarını, e-postaları, fotoğrafları, tıbbi durum bilgilerini ve evet, Signal konuşmalarını da dizinlemeye devam ediyor.
Araştırmacılar tarafından yapılan derinlemesine analizler de bazı yeni kontrollerin yetersiz olduğunu buldu. Örneğin, Recall testlerde ödeme kartı detaylarının ekran görüntüsünü almaya devam etti. Ayrıca, veritabanını basit bir parmak izi taraması veya PIN ile şifresini çözebiliyordu. Ve tüketici ve kurumsal Windows kullanıcılarını rutin olarak etkileyen gelişmiş kötü amaçlı yazılımların şifrelenmiş veritabanı içeriğinin şifresini çözüp çözemeyeceği belirsizliğini koruyor.
Ayrıca, Microsoft'un geliştiricilere uygulamalarında görüntülenen içeriğin dizinlenmesini önlemek için hala bir yol sağlamadığını da ortaya çıktı. Bu durum, Signal geliştiricilerini dezavantajlı duruma düşürdü ve yaratıcı olmak zorunda kaldılar.
Windows Masaüstü sürümünde Recall'ı engellemek için bir API bulunmadığından, Signal bunun yerine Microsoft'un telif hakkıyla korunan materyalleri korumak için sağladığı bir API'yi kullanıyor. Uygulama geliştiricileri, telif hakkıyla korunan içeriğin Windows tarafından ekran görüntüsü alınmasını önlemek için DRM (Dijital Haklar Yönetimi) ayarını açabiliyorlar. Signal, bu API'yi ek bir gizlilik katmanı eklemek için yeniden amaçlandırıyor.
Signal, "Recall gibi sistemleri geliştiren yapay zeka ekiplerinin gelecekte bu etkileri daha dikkatli düşünmesini umuyoruz" dedi. "Signal gibi uygulamaların, uygun geliştirici araçları olmadan hizmetlerinin gizliliğini ve bütünlüğünü korumak için 'bir garip numara' uygulaması gerekmemeli. Gizliliğe önem veren insanlar da yapay zeka hedefleri uğruna erişilebilirliği feda etmek zorunda kalmamalı."
Signal'ın bu hamlesi, Recall'ın özel mesajları kalıcı olarak dizinleme şansını azaltacak, ancak bunun da sınırları var. Bu önlem, yalnızca sohbetin tüm taraflarının (en azından Windows Masaüstü sürümünü kullananların) varsayılan ayarları değiştirmemiş olması durumunda koruma sağlıyor.
Microsoft yetkilileri, Windows'un geliştiricilere Recall üzerinde neden hassas kontrol sağlamadığı ve herhangi bir ekleme yapma planları olup olmadığına dair bir e-postaya hemen yanıt vermedi.
