O polêmico recurso Recall, da Microsoft, voltou aos holofotes após novos testes do The Register confirmarem que a ferramenta ainda captura e armazena informações sensíveis, incluindo senhas, números de cartão de crédito e dados bancários. Apesar das promessas de melhorias na segurança, a funcionalidade continua sendo um risco significativo para a privacidade dos usuários.
Por que o Recall é tão problemático?
Lançado inicialmente em 2024 como um recurso exclusivo para Copilot+ PCs, o Recall foi anunciado como uma ferramenta revolucionária: um “histórico visual” que tira screenshots automáticas de tudo o que o usuário faz no computador, permitindo buscar informações posteriormente. A ideia, em teoria, parece conveniente. Na prática, porém, transformou-se em um pesadelo de segurança.
A primeira versão do Recall foi retirada temporariamente após críticas de especialistas, que descobriram que a ferramenta armazenava dados em texto puro, sem qualquer criptografia. A Microsoft prometeu corrigir as falhas e reintroduziu o recurso com medidas de segurança reforçadas, incluindo criptografia, autenticação via Windows Hello e isolamento em enclaves de virtualização (VBS).
Mas os novos testes do The Register mostram que, mesmo com essas proteções, o Recall ainda falha em filtrar adequadamente informações confidenciais.
O que os testes revelaram?
Os experimentos simularam situações comuns em que usuários lidam com dados sensíveis. Os resultados foram preocupantes:
Dados bancários e cartões de crédito expostos
Quando um usuário acessa sua conta bancária, o Recall captura telas com saldos e transações, embora omita números de conta e rotas. Isso significa que, se um invasor obtiver acesso ao histórico do Recall, saberá onde a vítima tem conta e quanto dinheiro possui, informações valiosas para golpes direcionados.
Em testes com formulários de pagamento, o Recall bloqueou corretamente números de cartão de crédito quando havia termos como “pagamento” ou “cartão” no campo. No entanto, sem esses rótulos, a ferramenta registrou todos os dígitos, datas de validade e códigos de segurança (CVC).
Senhas armazenadas inadequadamente
O Recall não capturou senhas salvas no gerenciador do Chrome, mas falhou redondamente quando as credenciais estavam em um arquivo de texto sem identificação clara. Se um usuário mantém suas senhas em um documento chamado “acessos.txt”, por exemplo, o Recall vai capturar tudo.
A filtragem de números de seguro social (algo similar aos CPF nos EUA) mostrou-se inconsistente. Quando prefixados com “My SS#”, apenas os três primeiros dígitos foram capturados. Porém, com a abreviação “Soc:”, o Recall registrou todos os dígitos, deixando os dados completamente expostos.
Acesso remoto: um risco ainda maior
A Microsoft afirma que o Recall só pode ser acessado após autenticação via Windows Hello (reconhecimento facial, digital ou PIN). No entanto, os testes revelaram uma falha crítica:
- Um invasor pode acessar todo o histórico do Recall apenas com o PIN do usuário, sem necessidade de biometria;
- Através de softwares de acesso remoto como TeamViewer, um atacante pode visualizar todas as screenshots armazenadas sem precisar de contato físico com o dispositivo.
Isso significa que, se um criminoso descobrir ou adivinhar um PIN fraco (como “1234”), terá acesso completo a tudo o que o usuário fez no computador.
A Microsoft está fazendo o suficiente?
A empresa insiste que o Recall é seguro e útil, destacando que o recurso continua em fase de “pré-visualização” e que melhorias estão sendo implementadas. No entanto, críticos argumentam que nenhum nível de ajuste justifica o risco inerente de uma ferramenta que grava tudo o que acontece na tela e processa em servidores externos.
Especialistas em segurança, como Dray Agha, da Huntress Security, alertam que ataques a enclaves de virtualização (VBS) já foram explorados no passado, e que a dependência desse mecanismo não garante proteção infalível.
Além disso, defensores da privacidade, como Peter Snyder, da Brave Software, destacam que o Recall pode ser especialmente perigoso para vítimas de abuso, já que um agressor com acesso ao PC pode descobrir buscas por ajuda médica, jurídica ou de abrigo.
Vale o risco?
Enquanto a Microsoft continua promovendo o Recall como uma inovação indispensável, a realidade é que muitos usuários podem preferir simplesmente desativá-lo. Se a privacidade é uma prioridade, talvez seja melhor evitar recursos que gravam cada movimento no computador, especialmente quando falhas de segurança continuam surgindo.
Por enquanto, navegadores como o Brave já bloquearam o Recall por padrão, tratando todas as abas como “privadas” para evitar capturas indesejadas. Enquanto isso, resta aos usuários decidir se confiam na Microsoft o suficiente para manter um “Big Brother” ativo em seus PCs.
Mas se, por outro lado, se você quer trazer um recurso como o Recall para seu Linux, com processamento totalmente local, conheça o Observer!




