Als Microsoft versuchte, Recall zu starten, eine KI-gestützte Windows-Funktion, die Screenshots der meisten Ihrer Aktivitäten auf Ihrem PC erstellt, wurde dies als „Katastrophe“ für die Cybersicherheit und als „Datenschutz-Albtraum“ bezeichnet. Nach der Gegenreaktion und einer einjährigen Verzögerung bei der Neugestaltung und Sicherung von Recall sieht es sich erneut mit Sicherheits- und Datenschutzbedenken konfrontiert.

Der Cybersicherheitsexperte Alexander Hagenah hat erstellt TotalRecall neu geladenein Tool, das Daten aus Recall extrahiert und anzeigt. Es handelt sich um ein Update des TotalRecall-Tools, das alle Schwächen der ursprünglichen Recall-Funktion aufzeigte, bevor Microsoft sie neu gestaltete.

Bei der Neugestaltung von Microsoft lag der Schwerpunkt auf der Erstellung eines sicheren Tresors für Recall-Daten mit Windows Hello-Authentifizierung und einer sicheren Umgebung durch eine auf Virtualisierung basierende Sicherheitsenklave. Bei Recall müssen sich Benutzer mit einem Gesicht oder Fingerabdruck authentifizieren, um Zugriff auf Daten zu erhalten und die Aufzeichnung von Schnappschüssen zu ermöglichen. „Dies schränkt Versuche latenter Malware ein, die versuchen, mit einer Benutzerauthentifizierung mitzufahren, um Daten zu stehlen“, sagte Microsoft in einem Blogbeitrag vom September 2024.

„Meine Forschung zeigt, dass der Tresor zwar real ist, die Vertrauensgrenze jedoch zu früh endet“, sagt Hagenah. „TotalRecall Reloaded lässt die ‚latente Malware‘ mitlaufen.“ Das TotalRecall Reloaded-Tool kann stillschweigend im Hintergrund ausgeführt werden und die Recall-Zeitleiste aktivieren, um einen Benutzer zur Authentifizierung mit einer Windows Hello-Eingabeaufforderung zu zwingen. Sobald die Authentifizierung erfolgt ist, kann TotalRecall Reloaded dann alles extrahieren, was Windows Recall jemals erfasst hat. „Das ist genau das Szenario, das die Architektur von Microsoft einschränken soll“ sagt Hagenah.

Recall speichert viel mehr als nur Screenshots: den Verlauf der auf Ihrem Bildschirm angezeigten Texte, Nachrichten, E-Mails, Dokumente, den Browserverlauf und vieles mehr. Die Änderungen von Microsoft an der Recall-Sicherheit erfolgten Monate, nachdem CEO Satya Nadella den Mitarbeitern gesagt hatte: „Wenn Sie mit dem Kompromiss zwischen Sicherheit und einer anderen Priorität konfrontiert werden, ist Ihre Antwort klar: Sorgen Sie für Sicherheit.“

Hagenah hat seine neuesten Erkenntnisse letzten Monat verantwortungsbewusst an Microsoft weitergegeben, das Unternehmen hat den Bericht jedoch geschlossen und erklärt, es bestehe keine Sicherheitslücke. „Wir danken Alexander Hagenah dafür, dass er dieses Problem identifiziert und verantwortungsvoll gemeldet hat. Nach sorgfältiger Untersuchung haben wir festgestellt, dass die aufgezeigten Zugriffsmuster mit beabsichtigten Schutzmaßnahmen und bestehenden Kontrollen übereinstimmen und keine Umgehung einer Sicherheitsgrenze oder unbefugten Zugriff auf Daten darstellen“, sagt David Weston, Corporate Vice President von Microsoft Security, in einer Erklärung gegenüber Der Rand. „Der Autorisierungszeitraum verfügt über einen Timeout- und Anti-Hammering-Schutz, der die Auswirkungen böswilliger Abfragen begrenzt.“

In Nachrichten an Der RandHagenah bestreitet den Timeout-Schutz von Microsoft. „Ich kann die Daten erneut abfragen, und was ich in meinem Tool mache, ist, sie zu umgehen. Und die Zeitüberschreitung wird behoben“, sagt Hagenah. „Mein größtes Problem ist immer noch, dass sie in ihrer offiziellen Ankündigung sagen, dass die Enklave die ‚Mitnahme latenter Malware‘ verhindert, was sie eindeutig nicht tut.“

TotalRecall Reloaded kann auch den neuesten zwischengespeicherten Windows Recall-Screenshot ohne Windows Hello-Authentifizierung extrahieren oder den gesamten Aufnahmeverlauf vollständig löschen. Aber die Art von Malware, die Hagenah beschreibt, könnte auf einem PC im Hintergrund sitzen und trotzdem Screenshots machen, mit oder ohne Windows Recall.

Microsoft glaubt nicht, dass hier eine Sicherheitslücke besteht, da Windows einfach so funktioniert. Reguläre Prozesse im Benutzermodus haben die Möglichkeit, als normales und oft legitimes Verhalten in Windows Code in sich selbst einzuschleusen, aber diese Flexibilität schafft auch Möglichkeiten für Missbrauch.

Eine ähnliche Infostealer-Malware könnte sich verstecken und 1Password-Daten oder Ihren Browserverlauf extrahieren, wenn sie von den verschiedenen anderen Windows-Sicherheitstools und Speicherschutzmaßnahmen nicht erkannt wird. Die größere Sorge besteht darin, dass Recall viel mehr sensible Daten speichert als nur Passwörter oder den Browserverlauf, und Microsofts ursprüngliches Versprechen, dass Recall gegen im Hintergrund lauernde Malware protestieren würde.

Trotz der Bedenken hat Microsoft mit seinem Recall-Redesign viel richtig gemacht. „Die VBS-Enklave ist absolut solide“, sagt Hagenah. „Das Authentifizierungsmodell ist zustands- und rassenfrei (Tausende von Tests, keine Umgehungen).“ Hagenah glaubt lediglich, dass Microsoft noch einen Schritt weiter gehen könnte und sollte, um seine Sicherheitsdesignziele für Recall zu erreichen. „Das grundlegende Problem ist nicht die Krypto, die Enklave, die Authentifizierung oder die PPL“, sagt er. „Es sendet entschlüsselte Inhalte an einen ungeschützten Prozess zum Rendern. Die Tresortür ist aus Titan. Die Wand daneben ist aus Trockenbau.“