Quando a Microsoft tentou lançar o Recall, um recurso do Windows com tecnologia de IA que captura a maior parte do que você faz no seu PC, foi considerado um “desastre” para a segurança cibernética e um “pesadelo de privacidade”. Após a reação negativa e um atraso de um ano no redesenho do recall e na segurança, a empresa está mais uma vez enfrentando preocupações de segurança e privacidade.
Criado pelo especialista em segurança cibernética Alexander Hagena Total Recall foi recarregadouma ferramenta para extrair e exibir dados do Recall. Esta é uma atualização da ferramenta TotalRecall que expôs todos os pontos fracos do recurso Recall original antes que a Microsoft o redesenhasse.
O redesenho da Microsoft se concentra na criação de um cofre seguro para dados do Recall, com um ambiente seguro por meio da autenticação do Windows Hello e um Security Enclave baseado em virtualização. O recall exige que os usuários se autentiquem usando seu rosto ou impressão digital para poder acessar dados e registrar instantâneos. “Isso limita as tentativas de malware potencial de ‘sequestrar’ a autenticação do usuário e roubar dados”, disse a Microsoft. Postagens de blog de setembro de 2024.
“De acordo com a minha pesquisa, o cofre é real, mas o limite de confiança terminou demasiado cedo”, diz Hagena. “TotalRecall Reloaded expele esse ‘malware potencial’.” A ferramenta TotalRecall Reloaded é executada silenciosamente em segundo plano e pode ativar a linha do tempo Recall e forçar os usuários a se autenticarem com o prompt do Windows Hello. Uma vez autenticado, o TotalRecall Reloaded pode extrair tudo o que o Windows Recall já capturou. “Esse é exatamente o cenário que a arquitetura da Microsoft deveria limitar.” Hagena diz..
Além das capturas de tela, o Recall salva um histórico de texto na tela, mensagens, e-mails, documentos, histórico de navegação e muito mais. As mudanças da Microsoft para revogar a segurança ocorrem meses depois que o CEO Satya Nadella disse aos funcionários: “Quando confrontados com uma compensação entre segurança e outras prioridades, a resposta é clara: faça segurança”.
No mês passado, Hagenah divulgou de forma responsável suas últimas descobertas à Microsoft, mas a empresa encerrou o relatório, dizendo que não existiam vulnerabilidades. “Gostaríamos de agradecer a Alexander Hagenah por identificar e relatar este problema de forma responsável. Após uma investigação cuidadosa, determinamos que os padrões de acesso demonstrados são consistentes com a proteção pretendida e os controles existentes e não representam um desvio dos limites de segurança ou acesso não autorizado aos dados”, disse David Weston, vice-presidente corporativo de segurança da Microsoft, em um comunicado. A beira. “O período de autenticação tem limites de tempo e proteção anti-martelo para limitar o impacto de consultas maliciosas.”
com uma mensagem para A beiraHagenah questiona as proteções de tempo limite da Microsoft. “Você pode pesquisar novamente os dados. O que a ferramenta está fazendo é ignorar os dados e os tempos limite serão corrigidos”, disse Hagenah. “Meu maior problema é que eles dizem em seu anúncio oficial que os enclaves evitam o ‘potencial arrastamento de malware’, mas esse claramente não é o caso.”
TotalRecall Reloaded também pode extrair as capturas de tela mais recentes do Windows Recall em cache sem autenticação do Windows Hello ou apagar completamente todo o histórico de captura. Mas o tipo de malware descrito por Hagena pode ficar no fundo do seu PC e fazer capturas de tela, com ou sem o Windows Recall.
A Microsoft não acredita que haja uma vulnerabilidade aqui, pois é simplesmente assim que o Windows funciona. Embora os processos normais do modo de usuário tenham a capacidade de injetar código em si mesmos como comportamento normal e legítimo do Windows, essa flexibilidade também cria oportunidades de exploração.
Malware semelhante que rouba informações pode residir e extrair dados e histórico de navegação do 1Password se não for detectado por várias outras ferramentas de segurança do Windows e esforços de proteção de memória. A maior preocupação é que o Recall armazene mais dados confidenciais do que apenas senhas e histórico de navegação, e que a Microsoft inicialmente prometeu que o Recall protestaria contra o malware que ocorre em segundo plano.
Apesar das preocupações, a Microsoft acertou muito com o redesenho do recall. “O enclave VBS é sólido como uma rocha”, disse Hagena. “O modelo de autenticação é sem estado e sem raça (milhares de sondagens, zero desvios).” Hagenah acredita que a Microsoft pode e deve dar um passo adiante para atingir as metas de design de segurança da Recall. “A questão fundamental não é criptografia, enclaves, autenticação ou PPL”, diz ele. “O conteúdo descriptografado é enviado para um processo não seguro de renderização. A porta do cofre é feita de titânio e a parede próxima é de gesso cartonado.”
