A Microsoft voltou ao centro de debates sobre segurança digital por causa do Recall, recurso do Windows baseado em IA que registra capturas de tela da atividade do usuário. Mesmo após um ano de reformulações, a funcionalidade continua sendo alvo de críticas por possíveis riscos à privacidade.
Ferramenta expõe dados armazenados pelo Recall
O especialista em segurança Alexander Hagenah desenvolveu a ferramenta TotalRecall Reloaded, capaz de acessar e exibir informações armazenadas pelo recurso. A solução evolui um projeto anterior que já havia demonstrado falhas na versão inicial do Recall.
Segundo o pesquisador, a nova ferramenta consegue contornar parte das proteções implementadas pela Microsoft e extrair o histórico completo de गतिविधade do usuário após autenticação.
Cofre protegido não impede exploração
Para reforçar a segurança, a Microsoft implementou um sistema de armazenamento protegido, com autenticação via Windows Hello e uso de virtualização.
Na prática, o acesso aos dados exige biometria, como reconhecimento facial ou digital. Ainda assim, Hagenah afirma que esse modelo pode ser explorado: um software malicioso rodando em segundo plano pode induzir o usuário a autenticar o acesso e, a partir disso, coletar os dados armazenados.
Volume de dados amplia riscos
O Recall não armazena apenas imagens. O sistema registra textos exibidos na tela, e-mails, mensagens, documentos e histórico de navegação — o que aumenta significativamente o impacto em caso de acesso indevido.
De acordo com o pesquisador, esse cenário contradiz o objetivo de segurança proposto pela própria empresa.
Microsoft nega falha de segurança
A Microsoft afirma que o comportamento observado não representa uma vulnerabilidade. Segundo a empresa, os acessos seguem os mecanismos de proteção já previstos, incluindo limites de tempo e restrições contra tentativas repetidas.
Ainda assim, Hagenah contesta essa avaliação e aponta que sua ferramenta consegue contornar essas limitações.
Debate técnico segue aberto
Apesar das críticas, o especialista reconhece avanços na nova arquitetura de segurança do recurso, especialmente no uso de ambientes protegidos e autenticação robusta.
No entanto, ele destaca um ponto central: os dados, após descriptografados, ainda precisam ser processados fora do ambiente seguro, o que abre espaço para exploração.
O caso reacende o debate sobre o equilíbrio entre inovação baseada em IA e proteção de dados sensíveis, especialmente em sistemas que registram continuamente a atividade do usuário.
