TotalRecall: Windows Recall hakovanje
TotalRecall je inovativna alatka koju je kreirao etički haker Alexander Hagenah da bi pokazao potencijalne bezbjednosne rizike i zabrinutost za privatnost u vezi sa novonajavljenom Microsoft funkcijom, Recall. Ova nova funkcionalnost, predstavljena kao dio Copilot+ Windows 11 računara, podigla je zabrinutost među profesionalcima za sajber bezbjednost i korisnicima koji vode računa o privatnosti zbog svoje naizgled invazivne prirode.
TOTALRECALL
Recall je dizajniran da pravi snimke ekrana računara svakih nekoliko sekundi, lokalno šifruje slike, koristi tehnologiju optičkog prepoznavanja znakova (eng. optical character recognition – OCR) za ekstrakciju podataka i čuva ove informacije u SQLite bazi podataka u formatu običnog teksta. Primarna namjera iza Recall funkcionalnosti bila je da se korisnicima omogući da kasnije pretražuju svoje snimke ekrana za relevantne informacije. Međutim, primjena ove funkcionalnosti je izazvala značajne kontroverze zbog potencijalnih rizika koje predstavlja. Zbog toga Hagenah alat otvorenog kôda TotalRecall služi kao dobar podsjetnik na ove zabrinutosti pokazujući kako zlonamjerni akteri mogu da iskoriste Recall i ukradu osjetljive podatke kao što su lozinke i brojevi finansijskih računa.
“Baza podataka je nešifrovana. Sve je to običan tekst. Windows Recall skladišti sve lokalno u nešifrovanoj SQLite bazi podataka, a snimci ekrana se jednostavno čuvaju u fascikli na vašem računaru.”
Funkcionisanje
Ova alatka funkcioniše tako što iskorištava činjenicu da se podaci čuvaju lokalno u nešifrovanom obliku, što ga čini ranjivim na napade ako zlonamjerni softver uspije da dobije uporište u sistemu. Alat se sastoji od dvije glavne komponente: grafičkog korisničkog interfejsa (eng. graphical user interface – GUI) za interakciju sa bazom podataka Recall i izdvajanje informacija i pozadinske komponente odgovorne za raščlanjivanje datoteke SQLite baze podataka i prikazivanje njenog sadržaja na organizovan način unutar grafičkog korisničkog interfejsa.
Kada se TotalRecall izvrši na ciljnoj mašini na kojoj je omogućena Recall funkcija, on skenira lokalni sistem u potrazi za svim dostupnim SQLite bazama podataka sa specifičnim ključnim riječima koje se odnose na Microsoft Recall funkciju. Jednom identifikovana, ekstraktuje i dešifruje datoteku baze podataka koristeći odgovarajuće alate i tehnike. Alat zatim analizira ove podatke i predstavlja ih u formatu prilagođenom korisniku u okviru svog grafičkog korisničkog interfejsa.
Zlonamjerni akteri u ovoj situaciji mogu interaktivno da pretražuju izvučene informacije filtriranjem rezultata na osnovu različitih kriterijuma kao što su period ili specifične ključne riječi. Oni takođe mogu da izvezu podatke u spoljne datoteke radi dalje analize ili dijeljenja sa drugim zlonamjernim akterima. Demonstracija ove funkcionalnosti omogućava sigurnosnim istraživačima, stručnjacima za sajber bezbjednost i zainteresovanim korisnicima da procjene potencijalne rizike povezane sa Recall funkcijom i preduzmu odgovarajuće mjere za njihovo ublažavanje.
“Kada ste prijavljeni na računar i pokrenete softver, stvari se dešifruju za vas. Šifrovanje u mirovanju pomaže samo ako neko dođe u vašu kuću i fizički ukrade vaš laptop – to ne rade kriminalni hakeri. Na primjer, InfoStealer trojanci, koji automatski kradu korisnička imena i lozinke, predstavljaju veliki problem već više od jedne decenije — sada se oni mogu jednostavno modifikovati da bi podržali Recall.”
– Kevin Beaumont –
RDP KRAĐA LOZINKI
Marc-Andre Moreau je sigurnosni istraživač koji je privukao pažnju svojim radom na Microsoft Recall funkciji. On je pokazao da je tvrdnja kompanije Microsoft, u kojoj se navodi da će zlonamjernom akteru biti potreban fizički pristup i važeći akreditivi za dobijanje podataka koje je prikupila Recall funkcija, lažna.
Moreau je pokazao kako se lozinka menadžera udaljene radne površine može lako izvući iz nešifrovane SQLite baze podataka koju je kreirala Recall funkcija. Ovo otkriće je istaklo potencijal da zlonamjerni softver koji krade informacije dobije ove osjetljive podatke bez potrebe za fizičkim pristupom ili važećim akreditivima. Ova otkrića donijela su značajnu zabrinutost u vezi sa privatnošću i bezbjednošću sa novom Microsoft funkcijom, jer je potencijalno izložila korisnike rizicima kao što su krađa lozinki i ugrožavanje finansijskih podataka.
Moreau je poznat po svojim doprinosima u oblasti istraživanja sajber bezbednosti, posebno fokusirajući se na ranjivosti u vezi sa bazama podataka i šifrovanjem. Njegov rad je pomogao da se podigne svest o potencijalnim prijetnjama i ranjivostima koje bi zlonamjerni akteri mogli da iskoriste. Dijeljenjem svojih nalaza javno, Moreau podstiče kompanije poput kompanije Microsoft da se proaktivno pozabave ovim problemima i poboljšaju svoje bezbjednosne mjere.
Ovo istraživanje je suštinski dio tekućeg dijaloga između stručnjaka za sajber bezbjednost, zagovornika privatnosti i tehnoloških kompanija u vezi sa balansiranjem između inovacija sa privatnošću i bezbjednošću korisnika. Rad ovog sigurnosnog istraživača služi kao podsjetnik da su kontinuirano testiranje, evaluacija i unapređenje ključni za održavanje robusnih bezbjednosnih sistema i zaštitu korisnika od potencijalnih prijetnji.
ZABRINUTOST I KRITIKA
Dostupnost TotalRecall alata izazvala je zabrinutost među profesionalcima za sajber bezbjednost u vezi sa potencijalnom zloupotrebom Microsoft Recall funkcije od strane zlonamjernih aktera za krađu osjetljivih informacija na daljinu bez potrebe za fizičkim pristupom uređaju ili važećim akreditivima. Ovo postavlja pitanja o bezbjednosnim mjerama primijenjenim u ovoj funkciji i naglašava važnost rješavanja ovih ranjivosti pre njenog zvaničnog objavljivanja.
Kompanija Microsoft je prvobitno tvrdila da će zlonamjernom akteru biti potreban fizički pristup uređaju i važeći akreditivi da bi dobio prikupljene podatke od Recall funkcije. Međutim, nedavne demonstracije su pokazale da je ova tvrdnja lažna, jer se osjetljive informacije mogu lako izvući na daljinu pomoću alata kao što je TotalRecall. Potencijalni rizici povezani sa Recall funkcijom dodatno su pojačani činjenicom da ona neprekidno radi u pozadini i čuva osjetljive podatke lokalno na uređaju. Ovo je čini privlačnom metom za zlonamjerne aktere koji žele da iskoriste ranjivosti, posebno pošto Microsoft Defender for Endpoint nije uspeo da otkrije eksfiltraciju podataka iz Recall funkcije tokom testova sprovedenih korištenjem uobičajenog zlonamjernog softvera za krađu informacija.
Etički haker koji stoji iza TotalRecall alata naglašava da je za korisnike ključno da onemoguće Microsoft Recall AI funkciju kad god je to moguće, s obzirom na potencijalne rizike. Kolektivni odgovor bezbjednosne zajednice bio je oprez i skepticizam prema ovoj novoj funkcionalnosti, pri čemu su mnogi izrazili zabrinutost zbog ugrožavanja privatnosti i ranjivosti u slučaju krađe podataka. Sada se kompanija Microsoft suočava sa značajnim izazovom u efikasnom rješavanju ovih problema uz održavanje povjerenja korisnika. Kompanija mora marljivo da radi na poboljšanju bezbjednosnih funkcija koje okružuju Recall funkciju, da pruže jasne opcije za odustajanje za korisnike i da se pozabave svim potencijalnim zabludama ili nesporazumima u vezi sa njegovom funkcionalnošću.
“Malo je razočaravajuće vidjeti da tako moćna funkcija ne shvata ozbiljnije bezbjednost. Nadam se da će se Microsoft pozabaviti ovim pre zvaničnog objavljivanja.”
Uticaj TotalRecall alata na širu bezbjednosnu zajednicu je značajan, jer naglašava važnost transparentnosti, kontrole korisnika i robusnih bezbjednosnih mehanizama prilikom implementacije novih tehnologija koje rukuju osjetljivim podacima. Alat služi kao podsjetnik organizacijama i pojedincima da budu budni u pogledu svoje digitalne privatnosti i da preduzmu proaktivne korake da obezbijede svoje sisteme od potencijalnih prijetnji.
Odgovor kompanije Microsoft za sada je prikupljanje povratnih informacija od korisnika uz razvoj više kontrola za Recall tehnologiju i poboljšanje ukupnog korisničkog iskustva. Oni su priznali potrebu za jasnim opcijama za odustajanje, poboljšanim metodama šifrovanja i povećanom transparentnošću u vezi sa funkcionisanjem ove funkcije. Ove akcije demonstriraju Microsoft posvećenost rješavanju validnih zabrinutosti koje su istakli stručnjaci za sajber bezbjednost i zagovornici privatnosti.
ZAKLJUČAK
TotalRecall je moćna demonstracija koliko lako zlonamjerni akteri mogu da ukradu podatke koje prikuplja Windows Recall. Dostupnost ovog alata naglašava potrebu da se kompanija Microsoft pozabavi pitanjima bezbednosti i privatnosti u vezi sa ovom funkcijom pre njenog zvaničnog objavljivanja. Potencijalne implikacije ove ranjivosti su značajne, pošto zlonamjerni akteri mogu lako da pristupe osjetljivim informacijama, što predstavlja ozbiljan rizik za korisnike i organizacije. Od ključne je važnosti da kompanije daju prioritet transparentnosti, otvorenoj komunikaciji i proaktivnim mjerama u rješavanju potencijalnih bezbjednosnih rizika uz inovacije i funkcionalnost.
Pokazujući kako zlonamjerni akteri mogu da iskoriste ovu funkciju za krađu osjetljivih informacija, sigurnosni istraživači naglašavaju važnost budnosti i transparentnosti sajber bezbednosti prilikom implementacije novih tehnologija. Kako kompanija Microsoft nastavlja da prikuplja povratne informacije od korisnika i radi na rješavanju ovih problema, TotalRecall služi kao vrijedan resurs za istraživače, stručnjake za bezbjednost i zainteresovane pojedince u njihovoj potrazi za zaštitom digitalne privatnosti i održavanjem čvrste bezbednosti sistema.