O pesquisador de segurança Alexander Hagenah lançou uma ferramenta atualizada chamada TotalRecall Reloaded que revela fraquezas no recurso Recall do Microsoft Windows 11. Apesar das revisões de segurança feitas pela Microsoft, a ferramenta pode interceptar dados do usuário após a autenticação pelo Windows Hello sem a necessidade de privilégios de administrador. A Microsoft sustenta que isso não representa uma vulnerabilidade.
Há dois anos, a Microsoft introduziu o Recall como parte de seus PCs Copilot+, um recurso projetado para rastrear o uso do PC por meio de capturas de tela para facilitar a recordação de atividades passadas. Inicialmente criticada por armazenar dados não criptografados, a Microsoft atrasou seu lançamento e melhorou a segurança: os dados agora são criptografados, acessíveis apenas via Windows Hello, desativados por padrão e mais eficazes em excluir informações confidenciais, como detalhes financeiros. No entanto, Hagenah argumenta que, embora o banco de dados do Recall em si — protegido por um enclave VBS — seja 'sólido como uma rocha', o processo AIXHost.exe que lida com os dados carece de proteções semelhantes. 'O cofre é sólido. O caminhão de entrega não é', escreveu ele na página da ferramenta no GitHub. A ferramenta TotalRecall Reloaded injeta uma DLL no AIXHost.exe, permitindo capturar capturas de tela, texto OCR e metadados assim que o usuário se autentica. Ela também pode acessar capturas de tela recentes, metadados do banco de dados ou excluir todo o banco de dados sem autenticação, e continua interceptando mesmo após o fechamento do Recall. Hagenah relatou o problema ao Centro de Resposta de Segurança da Microsoft em 6 de março; a empresa o classificou como 'não é uma vulnerabilidade' em 3 de abril. Um porta-voz da Microsoft afirmou: 'Agradecemos a Alexander Hagenah por identificar e relatar responsavelmente este problema. Após uma investigação cuidadosa, determinamos que os padrões de acesso demonstrados são consistentes com as proteções pretendidas e os controles existentes, e não representam uma violação de um limite de segurança ou acesso não autorizado a dados. O período de autorização tem um tempo limite e proteção contra tentativas excessivas (anti-hammering) que limitam o impacto de consultas maliciosas'. Aplicativos como Signal Messenger, AdGuard e Brave Browser implementaram soluções alternativas para excluir seu conteúdo do Recall.
