一名安全研究员近日展示了一种新工具,能够从微软的 Windows Recall 功能中提取敏感个人数据,成功绕过了该公司近期推出的安全升级措施。
据 The Verge 报道,网络安全专家 Alexander Hagenah 开发了名为“TotalRecall Reloaded”的工具,旨在演示这一 AI 驱动功能的漏洞。该工具通过利用系统处理用户身份验证的方式来实现攻击。
微软近期对 Recall 进行了重新设计,加入了一个受 Windows Hello 身份验证保护的安全保险库(secure vault)。这种架构的设计初衷是防止恶意软件在未经面部或指纹扫描的情况下访问捕获的数据。
然而,Hagenah 声称这种安全边界并不足够。据 The Verge 报道,Hagenah 表示:“我的研究表明,虽然保险库确实存在,但信任边界的终点过早了。”
利用身份验证过程漏洞
TotalRecall Reloaded 工具可以在后台静默运行,并触发 Recall 时间轴以强制弹出 Windows Hello 验证提示。一旦用户完成身份验证,该工具便可以提取该功能捕获的所有数据。
Hagenah 在报告中指出:“TotalRecall Reloaded 让那些‘潜伏的恶意软件’得以‘搭便车’。”
这一特定的攻击手段精准打击了微软新架构原本旨在防御的场景。Recall 功能会定期截取用户活动图像,但其存储的内容远不止图片,还包括文本、消息、电子邮件、文档以及浏览历史。
微软此前曾表示,通过使用基于虚拟化的安全飞地(Virtualization-based Security Enclave),可以限制恶意软件在用户身份验证期间窃取数据的企图。在此次更新之前,由于该功能最初被贴上了“隐私噩梦”的标签,其发布进程曾被迫延迟了一年之久。
目前,微软的安全实践正面临前所未有的严密审查,而这一安全漏洞的出现也正值此时。在之前的一份内部备忘录中,首席执行官 Satya Nadella 曾指示员工,如果必须在安全与其他优先级之间做出权衡,那么唯一的答案必须是安全。
