Windows Recall 每五秒擷取一次螢幕截圖。網路安全研究人員表示,該系統很容易被濫用,現在一位道德駭客已經開發出一款工具來證明它是多麼容易。
這款工具名為TotalRecall(沒錯,取自 1990 年的一部科幻電影),可以將 Recall 儲存的所有資訊提取到 Windows 膝上型電腦的主資料庫中。
自微軟 5 月中旬釋出 Recall 以來,安全研究人員一直將其與可以跟蹤您在裝置上所做的一切的間諜軟體或跟蹤軟體進行比較。
- 它實際上是內建的特洛伊木馬 2.0
- TotalRecall(是為了展示其可能性,並鼓勵微軟在 Recall 全面推出之前做出改變。
這個非常簡單的工具可以提取並顯示 Windows 11 中呼叫功能的資料,從而提供一種輕鬆的方式來訪問有關 PC 活動快照的資訊。
什麼是 Windows Recall?
2024 年5 月 20 日,微軟宣佈推出基於 ARM 架構的新型 Copilot+ PC。
與此同時,他們還宣佈將於 2024 年 6 月 18 日釋出 Windows Copilot+ Recall。
- 當您使用 PC 時,Recall 會拍攝螢幕快照。每五秒鐘拍攝一次快照,而螢幕上的內容與上一次快照不同。
- 您的快照將本地儲存並在 PC 上進行本地分析。
- Recall 的分析允許您使用自然語言搜尋內容,包括影像和文字。
- 只需詢問 Recall,它就會檢索與您的搜尋相匹配的文字和視覺效果,並根據結果與您的搜尋的匹配程度自動排序。
Recall帶來嚴重的隱私和安全問題
未加密的資料庫
Recall 每 5 秒擷取一次使用者活動的螢幕截圖,並將其儲存在裝置上未加密的 SQLite 資料庫中。這使得資料(包括加密訊息應用程式對話、電子郵件和個人檔案等敏感資訊)容易被獲得裝置物理訪問許可權的攻擊者訪問。
資料提取工具
一位網路安全研究人員開發了一款名為 TotalRecall 的工具,它可以自動定位和提取 Recall 收集的整個螢幕截圖和活動資料。這表明這些資料很容易被訪問和濫用。
隱私問題
安全專家將 Recall 與間諜軟體或跟蹤軟體進行了比較,因為它可以全面跟蹤和揭露使用者活動的幾乎每個方面,而沒有強大的隱私保護。人們擔心犯罪駭客、家庭暴力者或當局可能會濫用它。
雖然 Recall 旨在將資料本地儲存在裝置上,而不是將其傳送到 Microsoft 的伺服器,但缺乏加密以及能夠輕鬆提取所有記錄資料的能力會帶來重大的隱私風險。在 6 月 18 日 Recall 釋出之前,Microsoft 尚未充分解決這些問題。
那麼TotalRecall工具有什麼作用呢?
TotalRecall 會複製資料庫和螢幕截圖,然後解析資料庫以查詢可能有趣的工件。您可以定義日期來限制提取,以及搜尋感興趣的字串(透過 Recall OCR 提取)。這一切背後沒有什麼深奧的科學。這是非常基本的 SQLite 解析。
TotalRecall 的工作原理
- 資料提取:
- TotalRecall 將ukg.db資料庫和ImageStore資料夾複製到指定的提取資料夾。這可確保在您探索提取的資料時原始資料保持完整。
- 它會解析 SQLite 資料庫以提取可能有趣的資訊,例如視窗標題、時間戳和影像標記。該工具會查詢符合您指定條件(例如日期範圍、搜尋詞)的條目。
- ImageStore如果資料夾中的影像檔案.jpg沒有副檔名,TotalRecall 會將其重新命名。這樣可以更輕鬆地檢視和管理螢幕截圖。
- 您可以利用 Windows Recall 的光學字元識別 (OCR) 功能在資料庫中搜尋特定術語。這意味著您可以找到螢幕上顯示的文字,即使它是在影像中。
- 該工具會生成所提取資料的摘要,包括捕獲的視窗數和所拍攝影像數。它還會在文字檔案中建立詳細報告,列出所有捕獲的資料和搜尋結果。
主要特徵
- 日期過濾:
- 指定開始和結束日期以將提取限制在特定時間範圍內。
- 文字搜尋:
- 在捕獲的資料中搜尋特定文字,輕鬆找到相關資訊。
- 綜合報告:
- 生成詳細的報告,總結捕獲的視窗、影像和搜尋結果,所有這些都儲存在一個TotalRecall.txt檔案中以便於參考。
TotalRecall 提供了一種直接的方式來探索 Windows Recall 收集的資料。這根本不是什麼深奧的科學。
問題:
問:資料完全在你的膝上型電腦上本地處理,對嗎?
答:是的!他們在這裡做出了一些明智的決定,有一整套 Azure AI 等程式碼子系統在邊緣進行處理。
問:太酷了,那麼駭客和惡意軟體就無法訪問它了,對嗎?
答:不,可以。
問:但是它是加密的。
答:當您登入 PC 並執行軟體時,系統會為您解密。靜態加密只有在有人闖入您家並偷走您的膝上型電腦時才有用 — 這不是犯罪駭客會做的事情。
例如,InfoStealer 木馬會自動竊取使用者名稱和密碼,十多年來一直是個大問題,而現在只需輕鬆修改即可支援 Recall。
問:但 BBC 表示駭客無法遠端訪問資料。
答:BBC引用了微軟的話,是錯誤的。資料是可以遠端訪問。