Recall to ostatnio najbardziej kontrowersyjna funkcja Windows 11 24H2. Microsoft zapewnia o jej bezpieczeństwie – usługa wymaga sprzętu o najwyższej konsumenckiej klasie bezpieczeństwa (Secured-core PC/Copilot+ PC) i działa w pełni lokalnie. To jednak przestaje mieć znaczenie, gdy atakującemu uda się zyskać dostęp do komputera. Wówczas wszystkie działania użytkownika, w tym to, co przeglądał i co pisał, zostaje praktycznie podane na tacy.
Wiemy, że oficjalnie Recall działa tylko na Copilot+ PCs, komputerach z certyfikatem Secured-core PCs, charakteryzujących się dodatkową ochroną opartą na sprzęcie, a więc trudniejszych do przejęcia przez hakerów. Funkcja nie potrzebuje też ani nie używa połączenia z Internetem, działając w pełni offline, co także zmniejsza ryzyko przejęcia danych. Nie jest to jednak stuprocentowa gwarancja, że nasze poufne dane nie wpadną w niepowołane ręce. Ekspert cyberbezpieczeństwa Kevin Beaumont opublikował szczegółowy raport dotyczący działania Recall. Werdykt jest ostry: kradzież wszystkiego, co przeglądałe/aś i pisałe/aś na swoim komputerze jest teraz bardzo łatwe.
Badacz twierdzi, że Recall to interesująca funkcja, która wymaga niezwykle ostrożnej komunikacji, cyberbezpieczeństwa, inżynierii i implementacji i niestety nie ma niczego z nich. Przetwarzanie i szyfrowanie danych odbywa się co prawda na urządzeniu, ale dane ciągle są narażone na hakerów i złośliwe oprogramowanie. Szyfrowanie ochroni dane tylko wtedy, gdy atakujący nie zna Twojego hasła, ale przestaje to mieć znaczenie po udanym wykorzystaniu oprogramowania typu infostealers.
Recall działa, robiąc zrzuty ekranu co kilka sekund, a następnie system OCR przemienia wszystko na tekst i umieszcza w bazie danych w folderze użytkownika (niczym zaawansowany keylogger). Wszystko jest przechowywane jako zwykły tekst i nie są potrzebne uprawnienia systemu, by zyskać do niego dostęp. Ekspert utworzył stronę internetową, która może przetwarzać tę bazę danych i błyskawicznie wyszukać w niej dowolną rzecz. Projekt jest na razie wstrzymany do czasu, aż Microsoft nie zrobi czegoś, by poprawić bezpieczeństwo. Szerzej pojęta cyberspołeczność będzie miała sporo zabawy, gdy to się stanie ogólnodostępne – pisze Beaumont.
Recall ignoruje prywatne sesje przeglądania w Edge i innych przeglądarkach opartych na Chromium, a także pozwala wyłączyć jego działanie w wybranych aplikacjach lub ogólnie – w dowolnej chwili i na dowolny czas. Wszystko jednak, co zarejestruje, może być infiltrowane przez hakerów lub malware, jeśli zyskają dostęp do urządzenia. Każda interakcja z niemal każdą aplikacją trafią do rejestru. To może być w pełni bezpieczne tylko na urządzeniu działającym zawsze offline, chyba że Microsoft wprowadzi jakieś ekstra zabezpieczenia, o których jeszcze nie wiemy.
Kevin Beaumont wzywa Microsoft do przebudowania Recall, aby rozwiać obawy dotyczące prywatności. Ma to sens zwłaszcza w świetle ostatnich słów Satyi Nadelli, że inżynierowie powinni stawiać bezpieczeństwo ponad wszelkimi innymi priorytetami. Na marginesie warto wspomnieć, że podobno w Microsoft trwają wewnętrzne dyskusje, czy Recall powinien być zaznaczony jako domyślnie włączony w OOBE (pierwszej konfiguracji komputera) na Copilot+ PCs. Naszym zdaniem nie powinien.
Aktualizacja: Recall domyślnie wyłączony i mocniej zabezpieczony
Źródło: https://x.com/GossiTheDog/status/1796218726808748367
