TotalRecall, uno strumento creato da un hacker etico, mette in evidenza le vulnerabilità della funzione Windows Recall, che è stata annunciata da Microsoft per i nuovi PC Windows 11 Copilot+.
La funzione Recall di Windows, che prende screenshot del computer ogni pochi secondi, è stata subito vista con sospetto da parte dei professionisti della sicurezza e degli utenti attenti alla privacy. Lo strumento TotalRecall, creato da Alexander Hagenah, dimostra come i malintenzionati possano abusare di questa funzione per rubare dati sensibili.
Copilot+ Recall e le sue vulnerabilità
Il 20 maggio, Microsoft ha annunciato una nuova linea di PC Windows 11 chiamata Copilot+, che include la funzione Recall. Questa funzione prende screenshot del computer ogni pochi secondi, li crittografa e li memorizza localmente, utilizza il riconoscimento ottico dei caratteri (OCR) per estrarre informazioni rilevanti che gli utenti possono cercare in seguito, e memorizza questi dati localmente in una database SQLite, in testo normale.
In teoria, solo l’utente può accedervi quando è connesso al computer. Nella pratica, però, il malware che ruba informazioni e i hacker possono accedervi, così come altri utenti dello stesso dispositivo.
Il ricercatore di sicurezza Kevin Beaumont ha testato la funzione e ha dimostrato che l’esfiltrazione dei database Recall può essere automatizzata. “Recall consente ai cybercriminali di automatizzare la raccolta di tutto ciò che hai mai guardato in pochi secondi”, ha detto.
Durante i test, Beaumont ha utilizzato un malware di furto di informazioni disponibile in commercio e ha scoperto che Microsoft Defender for Endpoint ha rilevato il malware, ma l’automazione della rimozione ha richiesto più di dieci minuti, durante i quali i dati Recall erano già stati esfiltrati.
Beaumont ha anche criticato Microsoft per aver abilitato la funzione di default e per aver messo il carico sulle spalle degli utenti per disabilitarla, e ha sottolineato che anche se Recall è disabilitato, gli attaccanti possono facilmente riattivarlo con Powershell senza che l’utente se ne accorga.
TotalRecall: un’esercitazione pratica per gli hacker etici
Hagenah è stato inizialmente motivato dalla curiosità: voleva sapere cosa poteva fare con la funzione, se poteva abusarne, e voleva verificare se sarebbe stato sicuro usarla. Ma una volta determinato che non lo era, ha ritenuto importante sensibilizzare il pubblico. “Dovrebbero sapere che può essere pericoloso”, ha detto a Help Net Security.
TotalRecall trova il database Recall, copia gli screenshot e il database SQLite in una cartella di estrazione, analizza i database per gli artefatti specificati dall’utente (ad esempio password, termini di ricerca, informazioni sulla carta di credito, ecc.), e quindi fornisce un riepilogo che include questi artefatti.
Hagenah non ha intenzione di apportare modifiche allo strumento. “La PoC sta come è. Sono solo molto curioso di vedere cosa farà MS prima del lancio di Recall”, ha detto a Help Net Security.
Consigli e best practice per la sicurezza di Windows Recall
Se si utilizza la funzione Windows Recall, è importante prendere alcune precauzioni per proteggere i propri dati:
- Disabilitare la funzione: se non si utilizza la funzione Recall, è consigliabile disabilitarla.
- Utilizzare password complesse: utilizzare password complesse e uniche per ogni account.
- Utilizzare un software antivirus affidabile: utilizzare un software antivirus affidabile e mantenerlo aggiornato.
- Utilizzare la crittografia: utilizzare la crittografia per proteggere i propri dati.
- Essere consapevoli dei rischi: essere consapevoli dei rischi associati alla funzione Recall e adottare le precauzioni necessarie per proteggere i propri dati.
Copilot+ Recall è previsto per il 18 giugno 2024. Se Microsoft non decide di ritardare il lancio o di abbandonare l’intera cosa (che è improbabile), speriamo che apporti modifiche per risolvere queste gravi vulnerabilità di sicurezza.
In conclusione, la funzione Windows Recall presenta alcune vulnerabilità di sicurezza che possono essere sfruttate da malintenzionati per rubare dati sensibili. Lo strumento TotalRecall dimostra come i malintenzionati possano abusare di questa funzione, e mette in evidenza l’importanza di prendere precauzioni per proteggere i propri dati.
Fonte: https://www.helpnetsecurity.com/2024/06/05/totalrecall-windows-recall-abuse/
