problema, come dettagliato da Hagenah Pagina TotalRecall GitHubRecall non dispone della sicurezza del database, che ha definito “solido come la roccia”. Il problema è che, una volta autenticato l’utente, il sistema passa i dati di richiamo a un altro processo di sistema AIXHost.exeE Quello Il resto del processo non beneficia delle stesse protezioni di sicurezza di Recall.
“Il caveau è solido”, ha scritto Hagena. “Non un camion per le consegne.”
Lo strumento TotalRecall Reloaded utilizza un file eseguibile per inserire un file DLL AIXHost.exeQualcosa che può essere fatto senza privilegi di amministratore. Attende quindi che l’utente apra Recall ed effettui l’autenticazione utilizzando Windows Hello in background. Una volta fatto ciò, lo strumento può acquisire screenshot, testo OCR e altri metadati che richiamano AIXHost.exe processo, che può continuare anche dopo che l’utente ha chiuso la sessione di richiamo.
“VBS Enclave non decodificherà nulla tranne Windows Hello”, ha scritto Hagenah. “Lo strumento non lo bypassa. Obbliga l’utente a farlo, funziona silenziosamente mentre l’utente lo fa o aspetta che l’utente lo faccia.”
Alcune attività, tra cui l’acquisizione di uno screenshot di richiamo recente, l’acquisizione di metadati selezionati sul database di richiamo e l’eliminazione dell’intero database di richiamo dell’utente, possono essere eseguite senza l’autenticazione di Windows Hello.
Una volta provato, Hagenah disse Lo strumento TotalRecall Reloaded può accedere sia ai nuovi dati registrati nel database Recall sia ai dati registrati prima del richiamo.
Bug o no, il richiamo è ancora rischioso
Da parte sua, Microsoft ha affermato che la scoperta di Hagener non è in realtà un bug e che la società non ha intenzione di risolverlo. Hagenah aveva originariamente segnalato le sue scoperte al Security Response Center di Microsoft il 6 marzo e il 3 aprile Microsoft lo aveva ufficialmente classificato come “non una vulnerabilità”.
