Флагманская функция Windows 11 на основе искусственного интеллекта Recall сохраняет пробелы в безопасности. Данные, которые она собирает, могут легко получить злоумышленники.
Новый инструмент TotalRecall от Александра Хагены показывает, что, хотя хранилище данных Recall надёжно, способ передачи данных в Windows 11 слишком легко взломать, и сама Microsoft не видит в этом проблемы.
Обновлённая версия TotalRecall, которая теперь доступна публично, использует процесс AIXHost.exe для получения всех скриншотов. Исследователь объясняет, что «процесс, отвечающий за отрисовку временной шкалы Recall, не имеет PPL, AppContainer и контроля целостности кода», что позволяет внедрять код и извлекать данные после аутентификации пользователя с помощью Windows Hello. Идея состоит в том, чтобы работать в фоновом режиме, ждать аутентификации пользователя, а затем незаметно перехватывать данные.
AIXHost.exe не может проверять вызывающих лиц, и все внутри процесса считается доверенным. Это то, что должна была предотвратить переработанная система безопасности Windows Recall, гарантируя, что никакое вредоносное ПО не сможет «переместиться» и получить доступ к данным.
Кроме того, TotalRecall Reloaded способен получить последний кэшированный снимок даже без запроса Windows Hello.
Хагена утверждает, что, хотя хранилище действительно должным образом защищено, Microsoft следует улучшить ситуацию, обеспечив безопасность механизма доставки и убедившись, что процесс отрисовки должным образом защищён. Он уже представил свои выводы Microsoft до публикации, но компания заявила, что TotalRecall не предоставляет никаких обходных путей или уязвимостей безопасности.
Инструмент доступен для публичного доступа, его можно загрузить с GitHub.
Ранее в приложении AdGuard для Windows появилась новая функция, позволяющая отключить опцию Recall.
ссылка на оригинал статьи https://habr.com/ru/articles/1024058/