TotalRecall: robar los datos recopilados por Windows Recall

TotalRecall muestra con qué facilidad se pueden robar los datos recopilados por Windows Recall. El hacker ético Alexander Hagenah ha creado TotalRecall, una herramienta que demuestra cómo personas malintencionadas pueden abusar de la función Recall recientemente anunciada de WindowsRecall recientemente anunciada de Windows para robar información confidencial.

Copilot+ Recall y sus problemas de seguridad

El 20 de mayo, Microsoft anunció una nueva línea de PC con Windows 11 llamada Copilot+. Entre sus características vistas previas estaba Recall, que inmediatamente fue vista con sospecha por profesionales de seguridad y usuarios preocupados por la privacidad.

Copilot+ Recall toma instantáneas de la pantalla de la computadora cada pocos segundos (algunas cosas pueden excluirse), cifra y almacena las instantáneas localmente, utiliza el reconocimiento óptico de caracteres (OCR) para extraer información relevante que los usuarios pueden buscar más tarde y almacena estos datos localmente, en una base de datos SQLite, en texto plano.

En teoría, sólo el usuario puede acceder a él cuando inicia sesión en la computadora. Sin embargo, en la práctica, el malware que roba información y los delincuentes informáticos pueden acceder a él, al igual que otros usuarios en el mismo dispositivo.

El investigador de seguridad Kevin Beaumont probó la función y demostró que la exfiltración de las bases de datos de Recall se puede automatizar. "La recuperación permite a los actores de amenazas automatizar la extracción de todo lo que has visto en cuestión de segundos", dijo.

También criticó a Microsoft por habilitar la función de forma predeterminada y hacer que los usuarios tengan la responsabilidad de deshabilitarla, y señaló que incluso si Recall está desactivado, los atacantes pueden activarlo fácilmente con Powershell sin que el usuario se dé cuenta.

Al principio, Hagenah estaba motivado por la curiosidad: quería saber qué podía hacer con la función, si podía abusar de ella y quería comprobar por sí mismo si sería seguro utilizarla. Pero una vez que determinó que no lo era, pensó que era importante crear conciencia entre el público. "Deben saber que puede ser peligroso", dijo.

TotalRecall encuentra la base de datos de Recall, copia las capturas de pantalla tomadas y la base de datos SQLite en una carpeta de extracción, analiza las bases de datos en busca de artefactos especificados por el usuario (por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de crédito, etc.) y luego entrega un resumen que incluye esos artefactos.

No planea realizar cambios en la herramienta. "El PoC permanece como está. Tengo mucha curiosidad por saber qué hará MS antes del lanzamiento de Recall", dijo.

Copilot+ Recall está programado para lanzarse el 18 de junio de 2024. Si Microsoft no decide retrasarlo o descartarlo todo (lo cual es poco probable), es de esperar que realice cambios para abordar estas atroces fallas de seguridad.

Fuente: Helpnetsecurity

Suscríbete a nuestro Boletín