أصدر الباحث الأمني ألكسندر هاجينه أداة محدثة تحمل اسم TotalRecall Reloaded، تكشف عن نقاط ضعف في ميزة Recall بنظام ويندوز 11 من مايكروسوفت. وعلى الرغم من التحديثات الأمنية التي أجرتها الشركة، يمكن للأداة اعتراض بيانات المستخدم بعد المصادقة عبر Windows Hello دون الحاجة إلى صلاحيات المسؤول، بينما تؤكد مايكروسوفت أن هذا الأمر لا يمثل ثغرة أمنية.
قبل عامين، قدمت مايكروسوفت ميزة Recall كجزء من أجهزة Copilot+ PCs، وهي ميزة مصممة لتتبع استخدام الحاسوب عبر التقاط لقطات شاشة لتسهيل استرجاع الأنشطة السابقة. وبعد تعرضها لانتقادات أولية بسبب تخزين البيانات دون تشفير، قامت مايكروسوفت بتأجيل إطلاق الميزة وتحسين أمنها، حيث أصبحت البيانات مشفرة ولا يمكن الوصول إليها إلا عبر Windows Hello، كما أنها معطلة افتراضياً وتتمتع بقدرة أفضل على استبعاد المعلومات الحساسة مثل التفاصيل المالية. ومع ذلك، يرى هاجينه أنه على الرغم من أن قاعدة بيانات Recall نفسها محمية بواسطة بيئة VBS الآمنة وتتمتع بحماية قوية، فإن عملية AIXHost.exe التي تعالج البيانات تفتقر إلى حماية مماثلة، حيث كتب على صفحة الأداة عبر منصة GitHub: "الخزنة قوية، لكن شاحنة التوصيل ليست كذلك". تقوم أداة TotalRecall Reloaded بحقن ملف DLL في عملية AIXHost.exe، مما يسمح لها بالتقاط لقطات الشاشة والنصوص المستخرجة عبر تقنية OCR والبيانات الوصفية بمجرد مصادقة المستخدم. كما يمكنها الوصول إلى لقطات الشاشة الأخيرة أو بيانات قاعدة البيانات الوصفية أو حذف قاعدة البيانات بأكملها دون الحاجة إلى مصادقة، وتستمر في الاعتراض حتى بعد إغلاق ميزة Recall. وقد أبلغ هاجينه عن هذه المشكلة إلى مركز استجابة الأمان التابع لمايكروسوفت في 6 مارس، وصنفتها الشركة على أنها "ليست ثغرة أمنية" في 3 أبريل. وصرح متحدث باسم مايكروسوفت قائلاً: "نقدر جهود ألكسندر هاجينه في تحديد هذه المشكلة والإبلاغ عنها بمسؤولية. بعد فحص دقيق، حددنا أن أنماط الوصول التي تم توضيحها تتسق مع وسائل الحماية المقصودة وعناصر التحكم الحالية، ولا تمثل تجاوزاً لحدود الأمان أو وصولاً غير مصرح به للبيانات. تحتوي فترة التفويض على مهلة زمنية وحماية ضد الهجمات المتكررة التي تحد من تأثير الاستعلامات الضارة". وقد طبقت تطبيقات مثل Signal Messenger وAdGuard وBrave Browser حلولاً برمجية لاستبعاد محتواها من ميزة Recall.
