Hagenah affirme qu'un attaquant pourrait obtenir une énorme quantité d'informations sur sa cible, notamment des informations sur ses e-mails, ses conversations personnelles et toute information sensible capturée par Recall.
Les travaux de Hagenah s'appuient sur les conclusions du chercheur en cybersécurité Kevin Beaumont, qui a détaillé la quantité d'informations capturées par le rappel et combien il peut être facile de l'extraire. Beaumont dit également avoir créé un site Web sur lequel une base de données de rappel peut être téléchargée et recherchée instantanément. Il dit qu'il n'a pas encore publié le site, pour laisser à Microsoft le temps de potentiellement modifier le système. « Les chevaux de Troie InfoStealer, qui volent automatiquement les noms d'utilisateur et les mots de passe, constituent un problème majeur depuis plus d'une décennie. Désormais, ils peuvent simplement être facilement modifiés pour prendre en charge Recall », écrit Beaumont.
Les critiques surviennent alors que les piratages des systèmes Microsoft ont conduit à diverses violations de données du gouvernement américain; Nadella a déclaré que la sécurité devrait être La « priorité absolue » de Microsoft.» Microsoft n'a pas répondu à la demande de commentaires de WIRED sur les fonctionnalités de sécurité de Recall au moment de la publication.
Pages de confidentialité de Recall disons qu'il est possible de désactiver l'enregistrement des captures d'écran (en désactivant effectivement le rappel), de suspendre temporairement le système, de filtrer les applications où les captures d'écran sont prises et de supprimer ce qui est collecté à tout moment. Le rappel s'exécute sur l'ordinateur portable lui-même, stockant les données qu'il capture sur l'appareil et n'envoyant pas ces informations aux serveurs de Microsoft. Hagenah affirme que cette affirmation semble être vraie, sans aucun signe indiquant que des données sont envoyées à Microsoft.
Microsoft est, au moins, conscient de certains des problèmes possibles liés à la confidentialité et à la sécurité avec Recall : ses pages d'aide indiquent que le système n'effectue aucune modération du contenu sur le contenu des images qu'il enregistre. Cela signifie, indique Microsoft dans le guide, qu'il ne « cachera pas d'informations telles que des mots de passe ou des numéros de comptes financiers ». Les chercheurs en sécurité ont déjà pu extraire les mots de passe de Recall.
La base de données principale de Recall est stockée dans le répertoire système de l'ordinateur portable et, même si elle nécessite des droits d'administrateur pour y accéder, attaques par élévation de privilèges existent depuis des années, ce qui permet théoriquement à un attaquant d'obtenir un premier accès à un appareil à distance.
Hagenah affirme que dans le cas d'employeurs ayant pour politique « apportez vos propres appareils », il existe un risque que quelqu'un reparte avec d'énormes volumes de données d'entreprise enregistrées sur son ordinateur portable. C'est un risque particulier s'ils sont mécontents ou s'ils partent en mauvais termes, dit-il. Le régulateur britannique de la protection des données, l'Information Commissioner's Office, a demandé à Microsoft pour fournir plus de détails sur Recall et sa confidentialité.
Bien que Recall reste une fonctionnalité « d'aperçu » et, selon Microsoft petite impression, pourrait changer avant son lancement, Beaumont écrit dans ses recherches que la société « devrait rappeler Recall et le retravailler pour qu'il soit la fonctionnalité qu'il mérite, livrée à une date ultérieure ». Il ajoute : « Ils doivent également revoir les décisions internes qui ont conduit à cette situation, car ce genre de chose ne devrait pas se produire. »
