Эксперт по кибербезопасности Кевин Бомонт заявил, что новейшая функция Recall — настоящая катастрофа для безопасности Windows. Он протестировал Recall и поделился своими грустными находками.

Microsoft заявляет, что обработка данных производится локально, без использования облачных сервисов, а вся информация Recall хранится в зашифрованном виде. На самом деле все иначе.

Кевин протестировал функцию на прошлой неделе: оказывается, что все сохраняется в базе данных в виде обычного текста. Это означает, что злоумышленники могут легко получить доступ к этим данным с помощью вредоносного ПО.

«Скриншоты делаются каждые несколько секунд, распознаются искусственным интеллектом Azure AI, работающим на устройстве пользователя, и сохраняются в базу данных SQLite в пользовательской папке. Таким образом, в этой базе данных хранится информация обо всем, что когда-либо отображалось на экране компьютера, в виде обычного текста», — объясняет Бомонт в своем блоге.

Для подтверждения своих слов эксперт опубликовал пример базы данных, где действительно видно, что содержимое не зашифровано. Он также осудил Microsoft за распространение через СМИ информации о том, что хакеры не смогут удалённо получить доступ к данным Recall. База данных хранится в папке AppData, и доступ к ней можно получить даже без административных прав.

Так, злоумышленники активно распространяют трояны типа InfoStealer, предназначенные для кражи конфиденциальной информации с целью дальнейшей продажи. Функция Windows Recall потенциально может облегчить задачу хакеров, предоставляя им доступ ко всем данным, когда-либо отображавшимся на экране.

«Я намеренно не раскрываю технические подробности до тех пор, пока Microsoft не выпустит эту функцию, чтобы дать им время на исправление», — заявил Кевин Бомонт.

В настоящее время Microsoft планирует включать функцию Recall по умолчанию на устройствах Copilot+. На этапе первоначальной настройки системы отключение Recall не предусмотрено, однако до релиза это может измениться.

Настройки конфиденциальности Recall позволяют запретить создание скриншотов для определённых приложений или веб-сайтов. Кроме того, функция не будет сохранять материалы, защищённые DRM. Определённые типы контента, такие как приватный режим в браузерах Microsoft Edge, Firefox, Opera, Google Chrome (и других на базе Chromium), также не будут сохраняться.

Однако модерация контента не предусмотрена, что означает, что Recall не будет скрывать пароли, номера банковских карт и другую подобную информацию на скриншотах. По словам Microsoft, всё это попадёт в базу данных Recall, если на сайте не используются стандарты для сокрытия таких данных.

Что касается шифрования, на сайте Microsoft указано, что снимки Recall хранятся на локальном жёстком диске и защищены с помощью функций «Шифрование устройства» или BitLocker. Бомонт отмечает, что шифрование диска полезно лишь в некоторых случаях. «Когда вы входите в компьютер и запускаете ПО, всё расшифровывается автоматически. Шифрование в состоянии покоя поможет только в случае физической кражи ноутбука — чем хакеры обычно не занимаются».

Возможно, Microsoft придётся пересмотреть концепцию Windows Recall или даже отказаться от неё. Очевидно, что существуют проблемы с хранением данных, которые необходимо решить до официального релиза функции в конце 2024 года.

Забавно, что всего несколько недель назад генеральный директор Microsoft Сатья Наделла призывал сделать безопасность «главным приоритетом» компании, даже если это повлияет на сроки выхода новых функций.

Подписывайтесь на наш Telegram-канал, а также на наш канал на YouTube!