這款駭客工具可攔截Windows Recall收集資料

Windows Recall 每五秒擷取一次螢幕截圖。網路安全研究人員表示，該系統很容易被濫用，現在一位道德駭客已經開發出一款工具來證明它是多麼容易。

這款工具名為TotalRecall（沒錯，取自 1990 年的一部科幻電影），可以將 Recall 儲存的所有資訊提取到 Windows 膝上型電腦的主資料庫中。

自微軟 5 月中旬釋出 Recall 以來，安全研究人員一直將其與可以跟蹤您在裝置上所做的一切的間諜軟體或跟蹤軟體進行比較。

• 它實際上是內建的特洛伊木馬 2.0
• TotalRecall（是為了展示其可能性，並鼓勵微軟在 Recall 全面推出之前做出改變。

這個非常簡單的工具可以提取並顯示 Windows 11 中呼叫功能的資料，從而提供一種輕鬆的方式來訪問有關 PC 活動快照的資訊。

什麼是 Windows Recall？
2024 年5 月 20 日，微軟宣佈推出基於 ARM 架構的新型 Copilot+ PC。
與此同時，他們還宣佈將於 2024 年 6 月 18 日釋出 Windows Copilot+ Recall。

• 當您使用 PC 時，Recall 會拍攝螢幕快照。每五秒鐘拍攝一次快照，而螢幕上的內容與上一次快照不同。
• 您的快照將本地儲存並在 PC 上進行本地分析。
• Recall 的分析允許您使用自然語言搜尋內容，包括影像和文字。
• 只需詢問 Recall，它就會檢索與您的搜尋相匹配的文字和視覺效果，並根據結果與您的搜尋的匹配程度自動排序。

Recall帶來嚴重的隱私和安全問題
未加密的資料庫
Recall 每 5 秒擷取一次使用者活動的螢幕截圖，並將其儲存在裝置上未加密的 SQLite 資料庫中。這使得資料（包括加密訊息應用程式對話、電子郵件和個人檔案等敏感資訊）容易被獲得裝置物理訪問許可權的攻擊者訪問。

資料提取工具
一位網路安全研究人員開發了一款名為 TotalRecall 的工具，它可以自動定位和提取 Recall 收集的整個螢幕截圖和活動資料。這表明這些資料很容易被訪問和濫用。

隱私問題
安全專家將 Recall 與間諜軟體或跟蹤軟體進行了比較，因為它可以全面跟蹤和揭露使用者活動的幾乎每個方面，而沒有強大的隱私保護。人們擔心犯罪駭客、家庭暴力者或當局可能會濫用它。

雖然 Recall 旨在將資料本地儲存在裝置上，而不是將其傳送到 Microsoft 的伺服器，但缺乏加密以及能夠輕鬆提取所有記錄資料的能力會帶來重大的隱私風險。在 6 月 18 日 Recall 釋出之前，Microsoft 尚未充分解決這些問題。

那麼TotalRecall工具有什麼作用呢？
TotalRecall 會複製資料庫和螢幕截圖，然後解析資料庫以查詢可能有趣的工件。您可以定義日期來限制提取，以及搜尋感興趣的字串（透過 Recall OCR 提取）。這一切背後沒有什麼深奧的科學。這是非常基本的 SQLite 解析。

TotalRecall 的工作原理

1. 資料提取：
2. TotalRecall 將ukg.db資料庫和ImageStore資料夾複製到指定的提取資料夾。這可確保在您探索提取的資料時原始資料保持完整。

主要特徵

• 日期過濾：
  
  • 指定開始和結束日期以將提取限制在特定時間範圍內。
• 文字搜尋：
  
  • 在捕獲的資料中搜尋特定文字，輕鬆找到相關資訊。
• 綜合報告：
  
  • 生成詳細的報告，總結捕獲的視窗、影像和搜尋結果，所有這些都儲存在一個TotalRecall.txt檔案中以便於參考。

問題：
問：資料完全在你的膝上型電腦上本地處理，對嗎？
答：是的！他們在這裡做出了一些明智的決定，有一整套 Azure AI 等程式碼子系統在邊緣進行處理。

問：太酷了，那麼駭客和惡意軟體就無法訪問它了，對嗎？
答：不，可以。

問：但是它是加密的。
答：當您登入 PC 並執行軟體時，系統會為您解密。靜態加密只有在有人闖入您家並偷走您的膝上型電腦時才有用 — 這不是犯罪駭客會做的事情。
例如，InfoStealer 木馬會自動竊取使用者名稱和密碼，十多年來一直是個大問題，而現在只需輕鬆修改即可支援 Recall。

問：但 BBC 表示駭客無法遠端訪問資料。
答：BBC引用了微軟的話，是錯誤的。資料是可以遠端訪問。