報導摘要

一份獨家測試報告揭露，儘管微軟聲稱已修補其AI應用程式 Recall 的安全漏洞，但這款能自動截圖使用者電腦畫面的工具，仍然會在某些情況下擷取信用卡號、密碼等敏感資訊。Recall 於2024年作為 Copilot+ PC 的獨家功能推出，旨在幫助使用者搜尋過往的操作紀錄。然而，其早期版本因將資料以純文字儲存而受到嚴厲批評。微軟隨後在2024年秋季推出了一個據稱更安全的版本，並在許多新電腦的設定過程中積極推廣。然而，測試結果顯示，其「敏感資訊過濾」功能並不完美，未能全面阻止所有敏感數據的截圖，讓駭客一旦入侵系統，仍能輕易取得大量個人資訊，形成一個「寶庫」。

資安風險

Microsoft Recall 的主要資安風險在於其截圖功能本身。該程式會持續不斷地截取使用者電腦畫面的快照，並將其儲存在本機。儘管微軟已將資料庫加密並儲存在虛擬化安全防護（VBS）中，但以下風險仍然存在：

1. 過濾功能不完善：測試證明，Recall 的敏感資訊過濾器會因語境變化而失效。例如，當「信用卡號」或「密碼」等關鍵字不存在時，Recall 就無法正確辨識並排除這些敏感資訊。這為駭客提供了利用語境攻擊的機會。
2. 遠端存取漏洞：Recall 的快照可透過 Windows Hello 登入後存取，但微軟並未強調 Windows Hello 也支援 PIN 碼。這意味著，如果駭客取得或猜到使用者的 PIN 碼，就能遠端存取所有快照，即使沒有生物識別資訊也無阻。
3. VBS與Hyper-V的潛在漏洞：儘管資料儲存在 VBS Enclave 中，但資安專家指出，過去曾有駭客利用 VBS 和 Hyper-V 的旁路攻擊（side-channel flaws）漏洞來竊取加密資訊。如果 Recall 未來被發現類似漏洞，其資料保護將面臨挑戰。

安全影響

Recall 的資安缺陷對個人和企業都帶來了嚴重的安全影響：

1. 個人資料外洩：駭客一旦成功利用漏洞，可以輕易取得使用者的信用卡資訊、銀行帳號頁面、PayPal 交易紀錄、甚至是護照照片等。這不僅會導致財務損失，也可能被用於身分盜竊。
2. 網路釣魚與社交工程：駭客可以利用 Recall 擷取的用戶行為模式與網站瀏覽紀錄，發動更為精準和個人化的網路釣魚攻擊，大大增加詐騙的成功率。
3. 隱私權侵害：對於受害者而言，Recall 無孔不入的截圖功能會記錄他們所有的數位足跡，包括醫療、個人生活等隱私資訊。這對於家暴受害者或需要隱藏瀏覽紀錄的用戶來說，是極大的威脅。
4. 企業資安風險：許多 Z 世代員工會在個人電腦上處理公務，Recall 的漏洞可能讓駭客透過員工個人設備，進而入侵企業內部網路，竊取機密資料。

行動建議

面對 Microsoft Recall 的資安風險，專家提供以下建議：

1. 停用 Recall：如果您的電腦上預裝了 Recall，且沒有非用不可的需求，最強烈的建議是直接停用此功能，以完全消除潛在的風險。
2. 手動設定黑名單：如果您仍需使用 Recall，請務必手動將所有瀏覽器和敏感應用程式（如銀行應用程式、密碼管理器）加入黑名單，防止它們被截圖。
3. 加強登入安全：避免使用簡單的 PIN 碼，並優先使用 Windows Hello 的生物識別功能（如臉部辨識或指紋），以提高登入 Recall 的安全性。
4. 謹慎使用裝置：在處理任何敏感資料，特別是信用卡或密碼輸入時，應更加謹慎，並意識到這些資訊可能被後台的應用程式截圖。

結論

Microsoft Recall 雖然初衷是提供便利，但其在安全和隱私上的設計缺陷，使其成為一個潛在的巨大資安隱患。儘管微軟聲稱持續改進，但目前看來，其過濾功能和存取控制機制仍有明顯不足，特別是在面對多樣化的網路行為時。此事件提醒我們，在享受新技術帶來的便利時，必須時刻保持警惕，仔細評估其可能帶來的隱私和安全風險。對於企業和個人而言，主動管理和控制個人資料的存取，並採用更嚴謹的資安習慣，是保護數位資產和隱私的關鍵。正如一位專家所言，儘管微軟的本意是好的，但在諸多限制與漏洞下，Recall 很難在不犧牲安全性的前提下實現其預期價值。

資料來源：https://www.theregister.com/2025/08/01/microsoft_recall_captures_credit_card_info/