TotalRecall Reloaded blottlägger säkerhetsbrist i Windows Recall

För två år sedan introducerade Microsoft Recall som en del av sina Copilot+ PC-datorer, en funktion utformad för att spåra datoranvändning via skärmdumpar för att lättare kunna minnas tidigare aktiviteter. Efter att initialt ha kritiserats för att lagra okrypterad data fördröjde Microsoft lanseringen och förbättrade säkerheten: data är nu krypterad, endast tillgänglig via Windows Hello, avstängd som standard och bättre på att exkludera känslig information som finansiella detaljer. Hagenah hävdar dock att även om själva Recall-databasen—som skyddas av en VBS-enklav—är 'bergfast', saknar AIXHost.exe-processen som hanterar datan liknande skydd. 'Valvet är säkert. Lastbilen som levererar det är det inte', skrev han på verktygets GitHub-sida. Verktyget TotalRecall Reloaded injicerar en DLL i AIXHost.exe, vilket gör att det kan fånga skärmdumpar, OCR-text och metadata så snart användaren har autentiserat sig. Det kan även komma åt nyligen tagna skärmdumpar, databasmetadata eller radera hela databasen utan autentisering, och fortsätter att fånga upp data även efter att Recall har stängts. Hagenah rapporterade problemet till Microsofts Security Response Center den 6 mars; företaget klassificerade det som 'inte en sårbarhet' den 3 april. En talesperson för Microsoft uppgav: 'Vi uppskattar att Alexander Hagenah identifierat och ansvarsfullt rapporterat detta problem. Efter noggrann undersökning har vi fastställt att de åtkomstmönster som demonstrerats är förenliga med avsedda skydd och befintliga kontroller, och utgör inte ett kringgående av en säkerhetsgräns eller obehörig åtkomst till data. Auktoriseringsperioden har en timeout och ett skydd mot upprepade anrop som begränsar effekten av skadliga frågor.' Appar som Signal Messenger, AdGuard och Brave Browser har implementerat lösningar för att exkludera sitt innehåll från Recall.