安全专家发现Windows 11回顾(Recall)存在缺陷 想要窃取你的数据非常容易

在此前举办的 Copilot+PC 发布会中微软重点介绍了 Windows 11 Recall 功能,该功能启用后会在后台每隔几秒钟对屏幕进行截图,截图再交给 AI 分析然后整理为时间线。

回顾功能的好处是用户可以查看自己的工作流和工作记录,包括通过关键词搜索快速打开之前某个时候的文档或网页等。

然而坏处是显而易见的,那就是你的电脑操作使用都会被截图保存到本地,这部分数据包含大量隐私内容,一旦遭到窃取将带来严重危害。

安全专家发现Windows 11召回(Recall)存在缺陷 想要窃取你的数据非常容易

微软强调这些截图都是加密保存到设备本地的,安全专家 Kevin Beaumont 经过测试后发现确实如此,在没有解锁系统的情况下截图确实加密保存,一旦攻击者获得你的登录凭据那数据就可以读取了。

Kevin Beaumont 还开发了个数据库程序可以读取这些截图整理后的数据,里面包含某个时刻的某个操作之类的,待回顾功能正式发布后这个数据库程序将被公开。

现在没公开是因为 Kevin Beaumont 希望微软能在正式推出回顾前针对这些安全问题进行改进,如果仍然不改进,那么这个数据库程序公开让用户直接检索这些数据,以显示召回功能极差的安全性。

值得注意的是 Kevin Beaumont 还做了个简要版的 QA,这里面包含一些重点内容:

问:微软说只有用户可以访问数据

答:并非如此,我可以演示同一设备上的另一个用户账户访问数据库

问:回顾功能的工作原理

答:每隔几秒钟对屏幕进行截图,截图由 AI 进行 OCR 识别并写入 SQLite 数据库,数据库以纯文本形式记录用户的所有活动

问:如何获取数据库文件:

答:数据库文件位于 AppData 中的 CoreAIPlatform 文件夹中

问:数据库有多大

答:压缩后几天的数据大约为 90KB,这意味着使用普通宽带连接也可以在几秒钟内泄露几个月的文档和案件记录

问:你们是否泄露过回顾功能的数据库:

答:是的,我已经实现了自动化渗透并创建一个网站可以上传数据库和检索内容,我故意隐瞒技术细节直到微软发布该功能,我想给他们时间采取行动

问:我从邮件、Teams、WhatsApp 中删除消息时,它会从回顾功能里删除吗?

答:不会,它会无限期保留在数据库中 (按微软说明截图大概会保留三个月左右再清理避免占用过高的存储空间答,但数据库内容没提)


限时活动推荐:阿里云服务器36元/年抢购腾讯云30M带宽新加坡服务器QQ超会15个月108元B站大会员88元


这是一个从 https://www.landiannews.com/archives/104252.html 下的原始话题分离的讨论话题