研究人员展示新款 Copilot+ PC Recall功能收集的数据如何被轻松窃取

科技   2024-06-06 19:02   北京  

几位网络安全研究人员演示了恶意软件如何窃取微软最近推出的召回功能收集的数据。

Recall功能是新款 Copilot+ PC 的默认功能,它使 Windows 用户能够轻松找到他们知道以前在 PC 上见过的内容。 

Recall功能会定期截取屏幕截图以捕捉用户的活动。所有数据都在本地存储和处理,微软希望此举能缓解潜在的隐私问题。 

然而,网络安全和隐私专家立即提出了担忧,包括因为截图可能包含密码和财务数据等高度敏感的信息,以及该功能对敏感数据的侵入性。

微软告诉记者,威胁行为者需要物理访问机器并获得有效凭证才能获取收集到的数据,但研究人员已经开始证明这一说法是错误的。

研究员 Marc-André Moreau展示了如何从本地未加密的 SQLite 数据库中轻松恢复 Recall 收集的远程桌面管理器密码,这使得窃取信息的恶意软件很容易获取这些密码。 

另一位网络安全专家 Alexander Hagenah 提供了一款名为TotalRecall的开源工具,可以轻松地从 Recall 数据库中提取和显示数据。 该工具演示了从该数据库中提取所有数据是多么容易。Hagenah指出,数据库中的所有信息均以纯文本形式存储。Hagenach 在 GitHub 上发布了该工具 ,展示其功能,并敦促微软在推出 Recall 之前做出更改。

Recall数据库

Hagenach 解释说,TotalRecall 会自动在笔记本电脑上找到 Recall 数据库并复制它,分析所有数据。系统可以设置检索数据的日期范围,例如特定的周或天。从 Recall 数据库中检索一天的屏幕截图只用了不超过 2 秒的时间。

TotalRecall 输出示例

数据库保存的数据包括桌面上显示的所有内容的屏幕截图,包括 Signal 和 WhatsApp 即时通讯程序中的消息,即使启用了消息消失功能,这些消息仍然保留。值得注意的是,屏幕截图每隔几秒就会进行一次。访问的网站和所有显示的文本也会被记录。

Hagenach 表示,攻击者可以获得有关受害者的大量信息,包括电子邮件、个人对话以及 Recall 捕获的任何敏感数据。主要的 Recall 数据库存储在笔记本电脑的系统目录中,需要管理员权限才能访问它。然而,理论上,权限提升攻击允许攻击者获得对设备的远程访问。

Hagenach警告说,根据企业BYOD(自带设备)政策,员工可能会窃取存储在工作笔记本电脑上的大量公司数据。如果员工以不愉快的方式离开公司,这尤其危险。

研究员 Kevin Beaumont 仔细研究了 Recall 的安全性,并警告称,威胁行为者可能会修改信息窃取程序以从新的 Windows 功能中获取数据。Beaumont表示,Recall 收集的数据经过了高效压缩,几天的数据只需要不到 100 Kb 的存储空间。 该研究人员声称,他已经使用现成的窃取信息恶意软件进行了测试,该恶意软件在被 Microsoft Defender for Endpoint 检测到之前成功窃取了 Recall 数据。 

Recall 目前处于预览阶段,微软仍然可以在其正式发布之前对其进行修改。 

参考链接:https://www.securityweek.com/researchers-show-how-malware-could-steal-windows-recall-data/

【关键词】网络安全 专业入门 学习资料, 掌握网络安全技能!

  



安全客
打破黑箱 客说安全
 最新文章