专家警告:恶意软件能够窃取 Windows Recall 工具收集的数据
2024-6-6 10:30:52 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。1717644752_66612dd0b7096854de17f.png!small

微软 Recall 功能是一种人工智能驱动的工具,旨在帮助用户搜索电脑上过去的活动,该工具收集的数据在本地存储和处理。工具推出后,鉴于其扫描并保存电脑屏幕的定期截图,有可能暴露敏感数据,例如密码或财务信息等,引起了网络安全专家对其安全和隐私的担忧,。

随着这一事件的发酵,微软方面一直在试图淡化用户面临的安全风险。该公司指出,威胁攻击者需要物理访问权限才能获取 Recall 工具收集的数据。不过,微软的回应就遭到了”打脸“,多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。

著名网络安全专家 Kevin Beaumont 表示,威胁攻击者能够使用恶意软件远程访问运行 Recall 的设备。

当用户登录电脑并运行软件时,一切都会自动解密,静态加密只有在有人到用户家中偷走笔记本电脑时才会有用(黑客犯罪可不是这么干)。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦,目前这些木马仍然可以被轻松修改,以”支持“ Recall。

1717641200_66611ff065f2c7d9e85d0.png!small

1717641223_666120072888654bb3159.png!small

值得一提的是,微软方面表示,公司内部的工具捕获的信息是高度加密的,没有人可以非法访问这些数据信息。对此, Kevin Beaumont 很快就指出微软的说法是假的,并公布了一段视频,视频中两名微软工程师访问了包含图片的文件夹。

1717641265_66612031988a1fc304ee5.png!small

(演示视频地址:https://twitter.com/i/status/1796255988804370875)

网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具,可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。数据库是未加密的。Hagenah 声称,数据库没有被加密的,全是纯文本。

Hagenah 进一步表示,Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中,截图只是保存在 PC 上的一个文件夹中,可以在下面的路径中查看:

C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID}

所有图像都存储在以下子文件夹中

.\ImageStore\

研究人员 Marc-André Moreau 强调,信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码,这些密码都会被 Recall 工具捕获。1717641376_666120a0cedc2488df150.png!small

(演示视频地址:https://twitter.com/i/status/1797656613127590300)

最后, Kevin Beaumont 在其研究报告中指出,微软方面此时应该立刻召回 Recall ,并在后续的更新中解决安全隐患。

参考文章:

https://securityaffairs.com/164181/digital-id/malware-steal-data-windows-recall-tool.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/402814.html
如有侵权请联系:admin#unsafe.sh