Recall è una delle funzionalità IA di Windows 11 che gli utenti troveranno sui dispositivi ARM (Copilot+ PC) in vendita dal 18 giugno. L’esperto di sicurezza Kevin Beaumont aveva evidenziato la possibilità di accedere ai dati. Un ricercatore ha rilasciato il tool TotalRecall che permette l’estrazione di tutte le informazioni.
Recall è un regalo ai cybercriminali
Recall crea una serie di “snapshot” (istantanee) ogni 5 secondi che vengono salvate sul dispositivo all’interno di un database SQLite. Il contenuto è protetto dalla crittografia, ma viene decifrato quando l’utente accede a Windows. Ciò permetterebbe di esfiltrare i dati da remoto tramite infostealer.
Il ricercatore Alex Hagenah ha creato il tool TotalRecall (nome ispirato al film del 1990 con Arnold Schwarzenegger) per dimostrare che Recall è in realtà un “trojan 2.0” integrato in Windows 11. Il codice sorgente è stato pubblicato su GitHub per spingere Microsoft ad apportare le necessarie modifiche prima del lancio ufficiale.
Ovviamente non è possibile testare il tool sui dispositivi (saranno in vendita dal 18 giugno), ma si può emulare un computer ARM con AmperageKit (localmente o su Azure). TotalRecall è sostanzialmente un parsing SQLite che estrae e visualizza i dati salvati da Recall. È possibile indicare un intervallo di date o cercare un termine specifico (anche nelle immagini grazie alla tecnologia OCR).
La funzionalità sviluppata da Microsoft è praticamente un regalo ai cybercriminali. Dopo aver installato un infostealer sul computer possono rubare il database e ottenere numerose informazioni (email, messaggi, documenti, siti visitati e molto altro). Il database viene salvato in una directory di sistema, quindi servono i diritti di amministratore. Ciò non rappresenta però un ostacolo, in quanto è sufficiente effettuare un attacco che prevede l’escalation dei privilegi.