El investigador de seguridad Alexander Hagenah ha lanzado una herramienta actualizada llamada TotalRecall Reloaded que revela vulnerabilidades en la función Recall de Microsoft Windows 11. A pesar de las revisiones de seguridad realizadas por Microsoft, la herramienta puede interceptar datos del usuario tras la autenticación con Windows Hello sin necesidad de privilegios de administrador. Microsoft sostiene que esto no representa una vulnerabilidad.
Hace dos años, Microsoft presentó Recall como parte de sus PC con Copilot+, una función diseñada para rastrear el uso del equipo mediante capturas de pantalla para facilitar la recuperación de actividades pasadas. Inicialmente criticado por almacenar datos sin cifrar, Microsoft retrasó su lanzamiento y mejoró la seguridad: los datos ahora están cifrados, solo son accesibles mediante Windows Hello, están desactivados por defecto y cuentan con una mejor exclusión de información confidencial, como los datos financieros. Sin embargo, Hagenah argumenta que, si bien la base de datos de Recall —protegida por un enclave VBS— es «robusta», el proceso AIXHost.exe que gestiona los datos carece de protecciones similares. «La caja fuerte es sólida, pero el camión de transporte no», escribió en la página de GitHub de la herramienta. La herramienta TotalRecall Reloaded inyecta una DLL en AIXHost.exe, lo que le permite capturar imágenes, texto OCR y metadatos una vez que el usuario se autentica. También puede acceder a capturas recientes, metadatos de la base de datos o eliminar la base de datos completa sin autenticación, y continúa interceptando incluso después de que Recall se cierra. Hagenah informó del problema al Centro de Respuesta de Seguridad de Microsoft el 6 de marzo; la empresa lo clasificó como «no es una vulnerabilidad» el 3 de abril. Un portavoz de Microsoft declaró: «Agradecemos a Alexander Hagenah por identificar e informar responsablemente sobre este problema. Tras una investigación cuidadosa, determinamos que los patrones de acceso demostrados son consistentes con las protecciones previstas y los controles existentes, y no representan una elusión de un límite de seguridad ni un acceso no autorizado a los datos. El periodo de autorización tiene un tiempo de espera y protección contra ataques de fuerza bruta que limitan el impacto de las consultas maliciosas». Aplicaciones como Signal Messenger, AdGuard y Brave Browser han implementado soluciones para excluir su contenido de Recall.
