TotalRecall: robar los datos recopilados por Windows Recall

TotalRecall muestra con qué facilidad se pueden robar los datos recopilados
por Windows Recall. El hacker ético Alexander Hagenah ha creado
TotalRecall, una herramienta que demuestra cómo personas malintencionadas pueden abusar
de la función Recall recientemente anunciada de WindowsRecall recientemente anunciada de Windows para robar información
confidencial.

Copilot+ Recall y sus problemas de seguridad

El 20 de mayo, Microsoft anunció una nueva línea de PC con Windows 11 llamada
Copilot+. Entre sus características vistas previas estaba Recall, que
inmediatamente fue vista con sospecha por profesionales de seguridad y
usuarios preocupados por la privacidad.

Copilot+ Recall toma instantáneas de la pantalla de la computadora cada pocos
segundos (algunas cosas pueden excluirse), cifra y almacena las instantáneas
localmente, utiliza el reconocimiento óptico de caracteres (OCR) para extraer
información relevante que los usuarios pueden buscar más tarde y almacena
estos datos localmente, en una base de datos SQLite, en texto plano.

En teoría, sólo el usuario puede acceder a él cuando inicia sesión en la
computadora. Sin embargo, en la práctica, el malware que roba información y
los delincuentes informáticos pueden acceder a él, al igual que otros
usuarios en el mismo dispositivo.

El investigador de seguridad Kevin Beaumont probó la función y demostró que la
exfiltración de las bases de datos de Recall se puede automatizar.
“La recuperación permite a los actores de amenazas automatizar la
extracción de todo lo que has visto en cuestión de segundos”, dijo.

También criticó a Microsoft por habilitar la función de forma predeterminada y
hacer que los usuarios tengan la responsabilidad de deshabilitarla, y señaló
que incluso si Recall está desactivado, los atacantes pueden activarlo
fácilmente con Powershell sin que el usuario se dé cuenta.

Al principio, Hagenah estaba motivado por la curiosidad: quería saber qué
podía hacer con la función, si podía abusar de ella y quería comprobar por sí
mismo si sería seguro utilizarla. Pero una vez que determinó que no lo era,
pensó que era importante crear conciencia entre el público.
“Deben saber que puede ser peligroso”, dijo.

TotalRecall encuentra la base de datos de Recall, copia las capturas de
pantalla tomadas y la base de datos SQLite en una carpeta de extracción,
analiza las bases de datos en busca de artefactos especificados por el usuario
(por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de
crédito, etc.) y luego entrega un resumen que incluye esos artefactos.

No planea realizar cambios en la herramienta.
“El PoC permanece como está. Tengo mucha curiosidad por saber qué hará MS
antes del lanzamiento de Recall”, dijo.

Copilot+ Recall está programado para lanzarse el 18 de junio de 2024. Si
Microsoft no decide retrasarlo o descartarlo todo (lo cual es poco probable),
es de esperar que realice cambios para abordar estas atroces fallas de
seguridad.

Fuente:
Helpnetsecurity

Leave Your Comment