TotalRecall shows how easily data collected by Windows Recall can be stolen
2024/06/04 HelpNetSecurity — 新たに発表された Windows Recall 機能を悪用して、機密情報を盗み出す方法を示すツール TotalRecall が、エシカル・ハッカー Alexander Hagenah により作成された。5月20日に Microsoftは、Windows 11 が搭載される PC 用の、新たなラインナップとして、”Copilot+” を発表した。そのプレビュー機能の中ある Recall だが、セキュリティの専門家やプライバシーを重視するユーザーから、すぐに疑いの目で見られることになった。
Copilot+Recall とセキュリティの落とし穴
Copilot+Recallは、コンピューターの画面を数秒ごとに撮影 (除外可能なものもある) し、スナップショットとして暗号化してローカルに保存するものだ。SQLite データベースにプレーン・テキストでローカル保存されたデータは、光学式文字認識 (OCR) を介することで、ユーザーによる関連情報の検索のために利用できる。
理論的には、コンピューターにログインしているユーザーのみが、一連のデータにアクセスできることになる。しかし実際には、情報を盗み出すマルウェアやハッカーからもアクセスが可能であり、また、同じデバイス上の他のユーザーもアクセスできる。
この機能をテストした、セキュリティ研究者 Kevin Beaumont は、Recall データベースからの流出を自動化できることを証明した。
彼は、「Recall は、あなたが見た全てのものを、脅威行為者が数秒以内に
スクレイピングすることを自動化させる。一般的なインフォ・スティーラーを用いたテストにおいて、私は Microsoft Defender for Endpoint を使用した。それにより、インフォ・スティーラーは検出されたが、自動的な修復が開始されるまでの間に (10分以上かかった)、すでに Recall データは消えていた」と述べている。
さらに彼は、Microsoft が Recall 機能をデフォルトで有効化し、ユーザーに対して無効化の責任を負わせていることを批判している。さらに言うなら、Recall が OFF になっていても、攻撃者は秘密裏かつ容易に、Powershell を介して ON にできるとも指摘している。
TotalRecall とは?
Hagenah の当初の動機は、好奇心にあった。その機能を使って何ができるのか? どのような悪用が可能なのか? そのあたりを知り、安全に使えるかどうかを、自分で確かめたかった。しかし、そうではないと判断した後には、一般の人々の意識を高めることが重要だと考えた。彼は、「危険であることを知るべきだ」と、Help Net Securityに語っている。
GitHub で提供されている TotalRecall は、Recall データベースを見つけ出し、撮影されたスクリーンショットと SQLite データベースを、抽出のためのフォルダにコピーする。そして、ユーザーにより指定されたアーティファクト (パスワード/検索用語/クレジットカード情報など ) についてデータベースを解析し、それらのアーティファクトを含む要約を配信するというものだ。
このツールに対して、Hagenah は変更を加えるつもりはない。彼は、「この PoC は、現状を維持する。Recall を開始する前に、Microsoft が何をするのか、非常に興味がある」と、Help Net Security に語っている。
2024年6月18日に、Copilot+ Recall はリリースされる予定だ。もし Microsoft が、Recall を延期/中止しないのであれば、このような重大なセキュリティ上の欠陥に対して、変更がなされることが期待される。
コンピューターの画面を数秒ごとに撮影し、スナップショットとして暗号化してローカルに保存することで、あなたの記憶をサポートしますという Recall 機能ですが、それが流出すると大変な危害が生じます。この問題を証明する、TotalRecall という PoC が提供され、Microsoft の対応が注目されています。話は変わりますが、TotalRecall という映画は、フィリップ・K・ディックが原作なのですね。アマプラで見かけたので、今度、観てみようと思っています。
IoT OT Security News 
You must be logged in to post a comment.