Windows Recall aveva lo scopo di rendere più semplice la ricerca nella cronologia del PC, ma una nuova prova di concetto sta mettendo nuovamente sotto pressione quella promessa.
TotalRecall ricaricato mostra come le informazioni acquisite dalla funzionalità Windows 11 possano ancora essere intercettate dopo l’accesso, anche dopo che Microsoft ha revisionato le sue protezioni in seguito alla reazione negativa dello scorso anno.
Il richiamo non cattura una fetta ristretta di attività. Può conservare un’ampia registrazione visiva di ciò che accade sul tuo PC, incluse app, siti Web, messaggi e altri contenuti sullo schermo.
Microsoft ha spostato la funzionalità per attivarne l’uso e ha aggiunto la crittografia e la protezione di Windows Hello, ma gli ultimi risultati suggeriscono che il punto più debole arriva dopo che il servizio viene sbloccato e inizia a passare le informazioni a un altro processo di sistema.
L’anello più debole potrebbe essere altrove
L’ultima affermazione è che il database stesso non è più il luogo più facile da attaccare. Invece, l’esposizione inizia dopo che qualcuno si è autenticato con Windows Hello e il sistema inizia a inviare screenshot, testo estratto e metadati a un processo separato chiamato AIXHost.exe.
Secondo quanto riferito, TotalRecall Reloaded inserisce il codice in quel processo senza privilegi di amministratore, quindi attende l’apertura della sessione e l’inizio dello spostamento delle informazioni.
Alcune azioni, tra cui l’estrazione dello screenshot più recente, la raccolta di metadati selezionati e l’eliminazione dell’archivio completo, possono essere eseguite senza l’autenticazione di Windows Hello.
Microsoft la vede diversamente
Microsoft ha detto ad Ars Technica che il comportamento mostrato dal ricercatore si adatta alle protezioni previste e ai controlli esistenti e ha affermato che non equivale a un superamento dei limiti di sicurezza o ad un accesso non autorizzato.
I risultati sono stati inviati al Security Response Center di Microsoft il 6 marzo e la società li ha classificati come non vulnerabili il 3 aprile.
È improbabile che questa risposta risolva i nervi. Chiunque possa accedere al tuo PC e utilizzare il PIN fallback di Windows Hello potrebbe comunque accedere a un archivio dettagliato di e-mail, attività di navigazione, messaggi e altre tracce personali.
Perché il problema della fiducia rimane
Recall era già sotto esame perché può registrare gran parte di ciò che accade su un PC, e questo rapporto offre ai critici un altro motivo per rimanere scettici anche se Microsoft afferma che il comportamento funziona come previsto.
Signal, Brave e AdGuard hanno già adottato misure per mantenere i loro contenuti fuori da Recall per impostazione predefinita, dimostrando che la preoccupazione va oltre i ricercatori di sicurezza.
Per gli utenti di Windows 11, la conclusione è pratica. Se non è necessario Recall, lasciarlo disattivato rimane la mossa più sicura. Se lo desideri, trattalo come una funzionalità di comodità con reali compromessi sulla privacy allegati e osserva se altre app iniziano a disattivarsi in seguito.
