Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Microsoft уверена, что шпионить за вами нормально. И не хочет ничего чинить

leer en español

Recall Windows TotalRecall Reloaded защита безопасность
Microsoft уверена, что шпионить за вами нормально. И не хочет ничего чинить
Recall Windows TotalRecall Reloaded защита безопасность

Специалист нашёл лазейку в обновленной «памяти» Windows.

image

Функция Recall в Windows 11 снова оказалась под прицелом. Казалось, Microsoft закрыла самые опасные дыры, но новый инструмент показывает, что доступ к пользовательским данным всё ещё можно получить обходным путём.

Два года назад Microsoft представила компьютеры с поддержкой Copilot+ и сделала ставку на локальную работу искусственного интеллекта. Одной из ключевых новинок стала Recall – функция, которая делает снимки экрана и сохраняет историю действий пользователя, чтобы к ней можно было вернуться позже.

Идея выглядела удобно, но первая версия Recall провалилась. Система сохраняла скриншоты и базу данных активности в незашифрованном виде. Любой, кто получал доступ к компьютеру, мог без труда забрать переписку, пароли, историю браузера и другие личные данные за недели или даже месяцы.

После критики Microsoft отложила запуск почти на год и переработала защиту. Данные зашифровали, доступ привязали к Windows Hello, фильтры начали лучше отсекать финансовую информацию, а саму функцию отключили по умолчанию.

Однако даже обновлённая версия вызывает вопросы. Специалист по безопасности Александр Хаген с помощью специального инструмента выяснил, что проблема теперь кроется не в самой базе данных Recall. По словам Хагена, защита хранилища работает надёжно. Уязвимость появляется в момент, когда пользователь проходит проверку через Windows Hello. После этого система передаёт данные процессу AIXHost.exe, у которого нет такой же жёсткой защиты.

TotalRecall Reloaded внедряет библиотеку в AIXHost.exe без прав администратора и ждёт, пока пользователь откроет Recall и подтвердит вход. После этого инструмент перехватывает скриншоты, распознанный текст и метаданные. Перехват продолжается даже после закрытия Recall. Фактически утилита не взламывает защиту, а использует поведение системы. Пользователь сам разблокирует данные, а вредоносный код просто «подсаживается» в нужный момент. Некоторые действия возможны даже без аутентификации – например, получение последнего скриншота или удаление всей базы Recall.

Microsoft не считает такую схему уязвимостью. В компании заявили, что поведение соответствует заложенной модели безопасности и не нарушает границы доступа. Обращение Хагена в Центр реагирования на угрозы зарегистрировали, но классифицировали как «не уязвимость». Тем не менее риски остаются. Любой, у кого есть доступ к компьютеру и резервный PIN-код Windows Hello, может открыть базу Recall и увидеть письма, сообщения, историю сайтов и другие личные данные. Фильтры частично скрывают чувствительную информацию, но полной защиты не дают.

Некоторые разработчики уже начали защищаться самостоятельно. Мессенджер Signal в Windows блокирует работу Recall по умолчанию. Похожим образом поступили разработчики браузера Brave и блокировщика рекламы AdGuard.