[English]Wegen gravierender Mängel bezüglich der Sicherheit wurde Recall im Sommer 2024 durch Microsoft zurückgezogen. Nun ist Microsoft gerade dabei, seine über Monate überarbeitete "und wirklich abgesicherte" Version von Recall erneut an Windows Insider auszurollen. Was kann schon schief gehen? Tester stellten überrascht fest, dass das neue Recall ein Alptraum ist. Trotz entsprechender Einstellung werden vertrauliche Dokumente mit Kreditkartendaten etc. mit aufgezeichnet. Oh welche Überraschung, wie konnte das passieren? Konnte doch keiner ahnen.
Anzeige
Recall, ein kurzer Rückblick
Es handelt sich bei Recall um eine Windows-Funktion, die ständig Screenshots vom Bildschirm des Benutzers anfertigen und diese in einem generativen KI-Modell verwenden kann, um die Daten zu verarbeiten und sie durchsuchbar zu machen. Das Versprechen Microsofts war, dass der Nutzer nur ein Stichwort eintippen muss, um herauszufinden, wenn er wohl was gemacht hat oder wo die Dokumente mit diesem Stichwort auf seinem Rechner zu finden sind.
Die erste Version von Recall war im Sommer 2024 durch Microsoft freigegeben worden. Sicherheitsforscher hatten das Konzept zerrissen und Microsoft sah sich gezwungen, Recall zurückzuziehen und grundsätzlich zu überarbeiten. Ich hatte das Ganze im Beitrag Copilot+AI: Recall-Sicherheitsdesaster- KI-gestützter Diebstahl aufgegriffen.
Ursprünglich war die Freigabe von Recall in Windows 11 24H2 für Oktober 2024 geplant. Nach dem Rückzug hieß es, Recall solle später kommen – Anfang September 2024 wurde Recall per Update in Windows 11 24H2 (siehe Windows 11 24H2: Update KB5041865 bringt Recall) ausgerollt, dann doch wieder im letzten Augenblick zurück gezogen.
Im Beitrag Windows 11: Recall kommt doch später … hieß es, dass Recall so im Dezember 2024 auf Copilot+PCs als Vorschau für Windows Insider verfügbar sein werde. Ich hatte kürzlich im Beitrag Recall ist wieder da, für Windows Insider auf Copilot+PCs über die Verfügbarkeit berichtet. Die Tage wurde die Version für AMD- und Intel-Prozessoren freigegeben.
Anzeige
Tests zeigen neues Desaster
Die große Befürchtung ist, dass vertrauliche Informationen durch Recall ungewollt aufgezeichnet und dann irgendwann durch Dritte oder Malware missbraucht werden – Recall ist eine eingebaute Wanze, die dem Nutzer ständig über die Schulter schaut. Microsoft hatte ja in diversen Blog-Beiträgen umfangreich beschrieben, wie gut man die Aufzeichnungen von Recall vor Dritten schützt und dass der Nutzer die Kontrolle habe, welche Daten aufgezeichnet werden. Inzwischen hatten Tester die Gelegenheit, sich das überarbeitete Recall in den Windows Insider Previews für Copilot+PCs genauer anzusehen.
Die Nacht bin ich auf den Beitrag Microsoft Recall screenshots credit cards and Social Security numbers, even with the "sensitive information" filter enabled von Tom's Hardware (sowie weitere Artikel, eine Diskussion findet sich hier) gestoßen. Der Tester hatte die Möglichkeit, Recall als Windows Insider auf entsprechend ausgestatteten Maschinen (Copilot+PC) zu testen.
Die neue Version von Recall verschlüsselt die erfassten Bildschirme und Microsoft hat standardmäßig die Einstellung "Sensible Informationen filtern" aktiviert. Mit dieser Option soll nach allgemeinem Verständnis verhindert werden, das Recall sensitive Informationen wie Kreditkartennummern, Sozialversicherungsnummern oder andere wichtige finanzielle/persönliche Informationen in Apps oder Webseiten erfasst und aufgezeichnet. Die wären ja noch immer mit Windows Hello und Verschlüsselung vor allzu offensichtlichem Missbrauch geschützt. Aber was aufgezeichnet wird, ist der latenten Gefahr ausgesetzt, dass die Informationen doch in "unbefugte Hände" gelangen.
Der Artikelautor von Tom's Hardware hat darauf hin einen Test gemacht und festgestellt, dass dieser Filter jedoch nur in einigen Situationen funktionierte (er konnte die Filterung auf zwei E-Commerce-Websites bestätigt bekommen). Als der Tester aber eine Kreditkartennummer und einen zufälligen Benutzernamen / ein zufälliges Kennwort in ein Windows-Notepad-Fenster eingab, erfasste Recall diese Daten. Und dies, obwohl er einen Text wie "Capital One Visa" direkt neben den Zahlen eingegeben hatte, schreibt er. Gut, ist schon ein "kruder Fall".
Aber ähnlich verhielt es sich, als der Mann einen PDF-Kreditantrag in Microsoft Edge ausfüllte und dabei Sozialversicherungsnummer, Name und Geburtsdatum eingab. Das sind schon sehr sensible Informationen und da sollte der Filter schon anschlagen.
Der Tester hat dann auch noch eine eigene HTML-Seite mit einem Webformular erstellt, auf dem ausdrücklich stand: "Geben Sie unten Ihre Kreditkartennummer ein". Das Formular enthielt Felder für Kreditkartentyp, -nummer, CVC und Ablaufdatum. Recall hätte dieses Formular in der Aufzeichnung blockieren müssen. Aber die Software hat ein Bild des ausgefüllten Formulars mit den Kreditkartendaten aufgezeichnet.
Mit anderen Worten: Die Versprechen Microsofts zu Recall sind (bisher) Schall und Rauch – es gibt eine klaffende Lücke in dem versprochenen "Daten-"Schutz. Gut, ist halt Software, die versagt, kann man nichts machen. Ist ja auch noch eine Insider Preview, das darf man alles nicht überbewerten. Recall wird richtig gut, wenn Microsoft noch ein wenig dran rum schnitzt.
Der Artikelautor hat dann bei Microsoft nachgefragt und wurde auf den Blog-Beitrag zum Preview von Recall verwiesen, wo es heißt:
"We've updated Recall to detect sensitive information like credit card details, passwords, and personal identification numbers. When detected, Recall won't save or store those snapshots. We'll continue to improve this functionality, and if you find sensitive information that should be filtered out, for your context, language, or geography, please let us know through Feedback Hub. We've also provided an option in Settings that we encourage you to enable that will anonymously share the apps and sites you prefer to be excluded from Recall to help us improve the product."
Copilot und Recall in O&O ShutUp10 deaktivieren
Zufällig gestern die Mail eines Blog-Lesers bekommen (danke dafür), der mich darauf hinwies, dass die aktuellste Version des Tools O&O ShutUp10 anbietet, Recall und Copilot zu deaktivieren. Das funktioniert auch bei Windows 10 Home oder Pro.
Copilot und Recall in O&O ShutUp10 deaktivieren, Zum Vergrößern klicken
Der Leser hat mir obigen Screenshot zugeschickt. Ich bin zwar kein großer Fan des oben genannten Tools (zu oft gab es bei Leuten Kollateralschäden, und die schlugen in der Vergangenheit dann in Microsoft Answers Foren mit Hilferufen auf). Aber für den Privatbereich kann das Tool unter obigem Kontext eine Hilfe sein, um Copilot und Recall zu verhindern. Wobei ich aktuell noch die Hoffnung hege, dass Recall weiterhin als Store-Anwendungen explizit heruntergeladen und installiert werden muss (siehe Windows 10/11: Copilot als native App für Windows Insider).
Ähnliche Artikel:
Copilot+AI: Recall-Sicherheitsdesaster- KI-gestützter Diebstahl
Microsoft bessert AI-Funktion Recall nach und fügt eine "Sicherung ein" – reicht das?
Windows 11 "Copilot+PC" kommt (vorerst) ohne Recall
Windows 11: Recall soll eine 2. Chance bekommen, kommt im Oktober 2024 als Preview für Insider
Windows 11 24H2: Update KB5041865 bringt Recall
Windows: Microsoft erklärt Recall in überarbeiteter Version
Windows 11 24H2: Recall nicht deinstallierbar …
Windows 11: Recall kommt doch später …
Recall ist wieder da, für Windows Insider auf Copilot+PCs
Windows 10/11: Copilot als native App für Windows Insider
Anzeige
Der Witz ist doch, dass zuerst mal aufgezeichnet und analysiert werden muss, um dann mit Hilfe der Vorgaben entscheiden zu können, was unkenntlich gemacht werden muss bzw. was wieder gelöscht wird.
Und wenn die Daten vor Dritten geschützt werden sollen: Wer ist denn der Erste und wer der Zweite mit Zugriff? Es sollte doch eigentlich nur einen geben: den Benutzer, oder? ;-)
Wenn man den Benutzer wirklich schützen möchte, dann implementiert man diese Funktion gar nicht erst. Weg damit und fertig. Ansonsten entstehen auf jedem PC in jedem Nutzerprofil riesige Datenmengen und diverse Gruppen werden versuchen an diese Infos zu kommen. Es ist eine Frage der Zeit bis die "anonyme" Ausleitung zu Werbezwecken oder Begehrlichkeiten von Seiten der Strafverfolgung aufkommen werden. Man sieht ja schon bei der EPA wer alles an die Daten möchte, obwohl das Ding derzeit ja noch nicht mal richtig existiert und diverse Probleme aufweist.
So kurzsichtig.. als ob es bei recall darum geht Daten anzuhäufen.
MS will einen CoPiloten, einen der alles kann was der User kann. Der weiss was der User gemacht hat, und warum.
Dazu braucht es aber eine Datengrundlage. Damit man dann später Dinge sagen kann wie .. "CoPilot, mach bereite bitte die Buchhaltung vor". Und die Software dann weiss.. welche Software, wo der User zuletzt aufgehört hat usw.
Vollkommen offen ist dabei die Frage ob die KI Software lokal oder in der Cloud läuft. Billiger ist es wenn sie lokal läuft.
Spionieren kann Microsoft jetzt mit Telemetrie schon, und sie können sogar regelmässig die Software updaten.. sie haben eh schon die volle Kontrolle über den PC.
Egal ob die Leute Office 365 verwenden oder nicht.
Es gibt nur eine sichere Lösung, winke winke and good bye Windows,
hab ich zum Glück schon vor längerem umgesetzt und bin ganz tiefenentspannt und genieße die Berichte, bei einem Lager voller PopCorn Eimer. :-)
Irgendwann wird auch der letzte merken, das diverse tolle Ideen von MS gar nicht so toll sind.
Ich werde ganz böse enden. Blogge ich über die Winkelzüge von Microsoft, bekomme ich von Windows-Enthusiasten auf die Mütze und die Linuxer störben einen schlömmen Tod, weil ständig mit Popkorn überfressen.
Blogge ich über "Lost in Linux-Land", werde ich von manchen Linuxianern fast gesteinigt, und die Windows-Enthusiasten verfressen sich an Popkorn, um dann elendiglich an Zivilisationskrankheiten durch ungesundes Essen zu störben. Egal, was ich mache, ich rotte langfristig die halbe Menschheit aus – ich sollte vielleicht endlich mehr über Reisen bloggen ;-).
Höre ich da im Hintergrund jemanden 'Apple' raunen? :D
Nö – ging nicht King Midas elendiglich im goldenen Käfig zugrunde?
Blogger habens schwer… aber auf diese Seele verzichte ich
Luzifer ;-P
Gut, in Linux kann mich sich aber auch echt verlieren.
Der Wechsel von Windows nach Linux ist gerade am Anfang mit einer steilen Lernkurve verbunden, wenn man da kaum vorerfahren hat.
Habe selbst den Wechsel auf einem meiner Geräte nach CentOS Stream 9 gewagt und kämpfe z.B. damit, dass sich der Sound anhört wie aus einer Blechdose.
Windows ist da wesentlich komfortabler im Bezug auf Installation und Konfiguration von Hardware, so zumindest meine Erfahrung nach wenigen Monaten Linux. Das ist natürlich auch dem Support durch die Hersteller der Geräte geschuldet, ob sie nun Treiber anbieten für gewisse Dinge oder eben nicht und man sich das zurechtfummeln muss.
Ich denke, das Thema wurde letztens zur Genüge behandelt.
Linux privat geht überwiegend. Beruflich geht am Desktop überwiegend nur Windows. Die Abhängigkeit von wichtigen Applikationen, die ausschließlich für Windows existieren, ist viel zu groß und sogar längerfristig schier unüberwindbar.
Das weiß Microsoft auch und erlaubt sich deshalb eine Dreistigkeit — zum Nachteil der Kunden — nach der anderen. Wer sowas wie Recall entwickelt und als nützliches und wichtiges Feature anpreist, zeigt in meinen Augen eher, dass er seine Kunden für nicht ganz dicht hält.
Für mich ist hier jetzt eot. Schönes Wochenende.
ehm… Hust… BSD… :-)
Nein Spaß… nicht für einen Desktop.
Warum nicht? Wollte ich schon ewig mal probieren, sollte ich über die Feiertage vielleicht mal angehen.
Was Bequemlichkeit und Vielfalt an Anwendungen angeht: Solange das Ding einen halbwegs brauchbaren Browser bietet, ich Mails damit empfangen, einen Brief schreiben und Töne und Videos abspielen kann, reicht mir das für einen Rechner zuhause.
Und wenn es noch so unbequem ist, ich würde eher meine mechanische Schreibmaschine wieder rauskramen, als mir sowas wie das heutige Windows zu geben.
(Und wo wir bei den Nischen-Betriebssystemen sind: Ich hatte auch schon mal Haiku heruntergeladen, auf dem speziellen Uralt-Netbook, auf dem ich es probiert hatte, lief dann aber leider das Netzwerk nicht.)
Das Leben ist kein Ponnyhof aber geritten wird trotzdem ;)
Hoffentlich kein totes Pferd…
Dreck bleibt Dreck, egal wie es sich nennt. Ich habe für die paar Anwendungen, wo ich Win11 brauche, es in eine VM (Proxmox) gepackt. Dort greife ich per RDP drauf zu und fertig. Dort kann der dann austoben.
Recall zeichnet selbstverständlich alles auf und "entscheidet" erst dann nach einer Analyse, was davon nicht mehr gezeigt werden soll…
eine Anwendung kann sich gegen Screenshots oder Sichtbarkeit per remote Tool aussprechen. siehe keepassxc in Teamviewer und ähnliche.
die Anwendung entscheidet, ob sie fotografiert wird. dieser Schalter wird auch von Copilot berücksichtigt.
das bringt uns wieder zum Punkt, der Entwickler muss das machen, das ist nicht der Default.
Ich denke das kann perspektivisch nur unter gewissen Blacklist-Labels sauber funktionieren, bspw. dass/wenn man eine ganze App blacklisten kann, sodass bspw. ein Private Browser Windows nicht aufgezeichnet wird.
Der ganze Rest ist mMn absoluter Quatsch. Es ist schlicht unmöglich jeden auch nur ansatzweise erdenklichen Fall zu finden, den man dann über eine Routine durchlaufen lässt um Sensible Daten wegzublenden. Was auch immer sensibel sein soll – weil im Zweifel definiert das noch jeder anders.
Nichts desto trotz, bei aller Kritik, das Feature wird wahrscheinlich über kurz oder lang trotzdem irgendwie einziehen. Weil der Vorteil eben genau der ist, dass man ein Gerät hat, was sich erstmal alles merkt was man mal gemacht hat und man eben das Gerät mal später fragen kann, was das eben war, wenn man sich nicht mehr vollends dran erinnert. Das geht halt nicht anders bzw. nur dann, wenn man dem Gerät auch erlaubt Dinge "mitzuschneiden".
Anyway. Solange das zumindest irgendwie ausschaltbar ist, ist das mMn zumindest handhabbar. Unschön, aber nunja. Solange die Alternativen nur bedingt alternativ taugen in der Masse muss man wohl oder übel das Spielchen mitspielen und irgendwie das Beste draus machen.
Bemerkenswert ist, dass man Windows früher mithilfe von Fremdsoftware um Funktionen anreicherte, die es von Haus aus nicht mitbrachte.
Heute muss man Windows mithilfe von Fremdsoftware um Funktionen beschneiden, die es von Haus aus mitbringt, die aber von den Nutzern nicht gewollt sind.
Ein echter Paradigmenwechsel.
Warum gibts für Beiträge hier eigentlich kein Bewertungssystem? Dem hier würde ich drei Pluszeichen spendieren.
In der Tat sehr gut beobachtet! ;)
Ja, man kann (wie hier geschehen) einen typischen Microsoft-Hau-Drauf-Bericht schreiben. Bzw. andere MS-Hau-Drauf Berichte zitieren, was es nicht besser macht – im Gegenteil, weil man es ja nicht selbst überprüft. Gibt wieder wunderbar Klicks. Und dass weiter unten korrekterweise erwähnt wird, dass das eine Insider-Preview ist, liest fast niemand mehr, oder wird als Ironie aufgefasst werden. Ist ja Microsoft, und die sind ja böse.
c't 3003 von heise.de hat da mal einen etwas differenzierten Blick drauf geworfen, und – oha – mal selber getestet, anstatt nur andere zitiert:
https://www.youtube.com/watch?v=7s193J6z9oo
Differenziert heißt nicht, dass die MS in den Himmel loben, aber es wird deutlich dargestellt, dass "Die Versprechen Microsofts zu Recall sind (bisher) Schall und Rauch" nicht wahr ist. Selbst die unterschiedlichen Meinungen in der Redaktion werden kommuniziert.
P.S. Es wird auch gezeigt, dass man keine Fremdsoftware wie O&O ShutUp10 braucht, um Recall zu deaktivieren. Das funktioniert bereits mit Windows-Boardmitteln.
Wenn Recall prinzipiell drauf ist, aber verschlüsselt oder auch deaktiviert, fällt es mir schwer, darin keinen vorinstallierten und jederzeit bei Bedarf nutzbaren Staatstrojaner zu sehen.