近日，一些網(wǎng)絡(luò)安全研究人員演示了惡意軟件是如何成功竊取 Windows Recall 工具收集到的數(shù)據(jù)。

微軟 Recall 功能是一種人工智能驅(qū)動(dòng)的工具，旨在幫助用戶搜索電腦上過去的活動(dòng)，該工具收集的數(shù)據(jù)在本地存儲(chǔ)和處理。工具推出后，鑒于其掃描并保存電腦屏幕的定期截圖，有可能暴露敏感數(shù)據(jù)，例如密碼或財(cái)務(wù)信息等，引起了網(wǎng)絡(luò)安全專家對(duì)其安全和隱私的擔(dān)憂，。

隨著這一事件的發(fā)酵，微軟方面一直在試圖淡化用戶面臨的安全風(fēng)險(xiǎn)。該公司指出，威脅攻擊者需要物理訪問權(quán)限才能獲取 Recall 工具收集的數(shù)據(jù)。不過，微軟的回應(yīng)就遭到了”打臉“，多名網(wǎng)絡(luò)安全研究人員成功驗(yàn)證惡意代碼可以竊取 Windows Recall 工具收集到的數(shù)據(jù)。

著名網(wǎng)絡(luò)安全專家 Kevin Beaumont 表示，威脅攻擊者能夠使用惡意軟件遠(yuǎn)程訪問運(yùn)行 Recall 的設(shè)備。

當(dāng)用戶登錄電腦并運(yùn)行軟件時(shí)，一切都會(huì)自動(dòng)解密，靜態(tài)加密只有在有人到用戶家中偷走筆記本電腦時(shí)才會(huì)有用（黑客犯罪可不是這么干）。自動(dòng)竊取用戶名和密碼的 InfoStealer 木馬十多年來一直是行業(yè)內(nèi)的大麻煩，目前這些木馬仍然可以被輕松修改，以”支持“ Recall。

值得一提的是，微軟方面表示，公司內(nèi)部的工具捕獲的信息是高度加密的，沒有人可以非法訪問這些數(shù)據(jù)信息。對(duì)此， Kevin Beaumont 很快就指出微軟的說法是假的，并公布了一段視頻，視頻中兩名微軟工程師訪問了包含圖片的文件夾。

（演示視頻地址：https://twitter.com/i/status/1796255988804370875）

網(wǎng)絡(luò)安全研究人員 Alex Hagenah 發(fā)布了一款名為 “TotalRecall ”的 PoC 工具，可以自動(dòng)提取和顯示 Recall 在筆記本電腦上捕獲并保存到數(shù)據(jù)庫(kù)中的快照。數(shù)據(jù)庫(kù)是未加密的。Hagenah 聲稱，數(shù)據(jù)庫(kù)沒有被加密的，全是純文本。

Hagenah 進(jìn)一步表示，Windows Recall 將所有內(nèi)容都存儲(chǔ)在本地未加密的 SQLite 數(shù)據(jù)庫(kù)中，截圖只是保存在 PC 上的一個(gè)文件夾中，可以在下面的路徑中查看：

C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID}

所有圖像都存儲(chǔ)在以下子文件夾中：

.\ImageStore\

研究人員 Marc-André Moreau 強(qiáng)調(diào)，信息竊取型惡意軟件可以從本地 SQLite 數(shù)據(jù)庫(kù)中輕松竊取遠(yuǎn)程桌面管理器中暫時(shí)可見的密碼，這些密碼都會(huì)被 Recall 工具捕獲。

（演示視頻地址：https://twitter.com/i/status/1797656613127590300）

最后， Kevin Beaumont 在其研究報(bào)告中指出，微軟方面此時(shí)應(yīng)該立刻召回 Recall ，并在后續(xù)的更新中解決安全隱患。

參考文章：https://securityaffairs.com/164181/digital-id/malware-steal-data-windows-recall-tool.html