Egy újonnan kiadott eszköz rávilágított, hogy továbbra is lehetséges az összes képernyőkép és egyéb érzékeny adat kinyerése, a Microsoft azonban nem lát problémát.
A Recall, a Windows 11 zászlóshajó AI-funkciója 2024-ben debütált a Copilot+ PC-k első hullámával. A felhasználók kezdetben egészséges szkepticizmussal fogadták, ami később hatalmas PR-katasztrófává vált a Microsoft számára, amikor biztonsági kutatók bemutatták, milyen egyszerű kinyerni az összes felhasználói adatot. Ez arra kényszerítette a Microsoftot, hogy visszahívja (szóvicc!) a funkciót, majd hónapokkal később egy teljesen újratervezett biztonsági rendszerrel adja ki újra. Úgy tűnik, ezek az intézkedések még mindig nem elegendőek.
Egy frissen frissített eszköz – melyet találóan TotalRecall-nak neveztek el – bizonyítja, hogy a Windows Recall által rögzített adatok továbbra is veszélyben vannak. Alexander Hagenah tette közzé alkotását a GitHubon, feltárva, hogy bár a Recall biztonsági tárolója (vault) szilárd, az adatok továbbításának módja a Windows 11-ben túlságosan könnyen feltörhető – és a Microsoft szerint ezzel nincs semmi gond.
Hogyan működik a feltörés?
A TotalRecall most már bárki számára elérhető, frissített verziója az AIXHost.exe folyamatot használja a pillanatképek megszerzéséhez. A kutató magyarázata szerint: „A Recall idővonalát megjelenítő folyamat nem rendelkezik PPL (Protected Process Light) védelemmel, nincs AppContainerben, és nincs kódintegritási kényszerítés sem.”
Ez lehetővé teszi a kódinjekciót és az adatkinyerést, amint a felhasználó hitelesíti magát a Windows Hello segítségével.
A módszer lényege, hogy a program a háttérben várakozik, amíg a felhasználó azonosítja magát (például mert rendeltetésszerűen használni akarja a Recall-t), majd gyanú nélkül leszívja az adatokat. Az AIXHost.exe nem képes ellenőrizni a hívó feleket, és a folyamaton belül mindent megbízhatónak tekint. Pontosan ezt kellett volna megakadályoznia az újratervezett biztonsági rendszernek: biztosítani, hogy semmilyen kártevő ne tudjon „potyautasként” hozzáférni az adatokhoz. Ráadásul a TotalRecall Reloaded képes megszerezni a legutóbbi gyorsítótárazott pillanatképet még a Windows Hello kérése nélkül is.
A Microsoft válasza
Alexander Hagenah (a The Verge-ön keresztül) hangsúlyozza: bár a tároló valóban megfelelően biztosított, a Microsoftnak javítania kellene a kézbesítési mechanizmuson és a megjelenítési folyamat védelmén. Hagenah a nyilvánosságra hozatal előtt benyújtotta megállapításait a Microsoftnak, de a vállalat szerint a TotalRecall nem jelent biztonsági rést vagy a védelmi rendszerek megkerülését.
A TotalRecall Reloaded mostantól nyilvánosan elérhető a GitHubon. – írja a Neowin.
Kép forrása: CNET