Этичный хакер Александр Хагенах создал TotalRecall – инструмент, демонстрирующий, как злоумышленники могут использовать недавно анонсированную функцию Recall в Windows для кражи конфиденциальной информации.
Recall и его подводные камни в области безопасности
20 мая компания Microsoft анонсировала новую линейку ПК на базе Windows 11 под названием Copilot. Среди представленных функций была Recall, к которой профессионалы в области безопасности и пользователи, заботящиеся о конфиденциальности, сразу же отнеслись с подозрением.
Copilot Recall делает снимки экрана компьютера каждые несколько секунд (некоторые вещи можно исключить), шифрует и хранит снимки локально, использует оптическое распознавание символов (OCR) для извлечения релевантной информации, которую пользователи могут найти позже, и хранит эти данные локально в базе данных SQLite в виде обычного текста.
Теоретически, доступ к ней может получить только пользователь, вошедший в систему. Однако на практике доступ к ней могут получить вредоносные программы и хакеры, а также другие пользователи того же устройства.
Исследователь безопасности Кевин Бомонт протестировал эту функцию и доказал, что утечка баз данных Recall может быть автоматизирована.
«Recall позволяет угрожающим субъектам автоматизировать поиск всего, что вы когда-либо просматривали, в течение нескольких секунд. Во время тестирования я использовал Microsoft Defender for Endpoint, который обнаружил похищение информации спустя какое-то врем. Когда сработала автоматическая защита (а это заняло более десяти минут), мои данные Recall были уже давно удалены».
Он также раскритиковал Microsoft за включение функции по умолчанию и возложение на пользователей обязанности по ее отключению, а также отметил, что даже если Recall отключен, злоумышленники могут легко включить его с помощью Powershell незаметно для пользователя.
TotalRecall
Изначально Хагена двигало любопытство: он хотел узнать, что можно сделать с этой функцией, можно ли ею злоупотреблять, и хотел сам проверить, безопасно ли ее использовать. Но когда он убедился, что это не так, он решил, что необходимо привлечь внимание общественности.
«Они должны знать, что это может быть опасно»
- сказал он в интервью Help Net Security
TotalRecall находит базу данных Recall, копирует сделанные скриншоты и базу данных SQLite в папку извлечения, анализирует базы данных на предмет артефактов, указанных пользователем (например, паролей, поисковых запросов, информации о кредитных картах и т. д.), а затем выдает сводку, включающую эти артефакты.
Комментарии (0)