Un investigador de seguridad ha presentado una nueva herramienta capaz de extraer datos personales sensibles de la función Windows Recall de Microsoft, logrando evadir las recientes mejoras de seguridad implementadas por la compañía.
Según un informe de The Verge, el experto en ciberseguridad Alexander Hagenah desarrolló 'TotalRecall Reloadeloded' para demostrar las vulnerabilidades de esta función impulsada por IA. La herramienta funciona explotando la forma en que el sistema gestiona la autenticación del usuario.
Recientemente, Microsoft rediseñó Recall para incluir una bóveda segura protegida por la autenticación de Windows Hello. Esta arquitectura tenía como objetivo evitar que el malware pudiera acceder a los datos capturados sin un escaneo facial o de huella dactilar.
Sin embargo, Hagenah afirma que este límite de seguridad es insuficiente. "Mi investigación demuestra que la bóveda es real, pero el límite de confianza termina demasiado pronto", señaló Hagenah, según informa The Verge.
Explotación del proceso de autenticación
La herramienta TotalRecall Reloaded puede ejecutarse de forma silenciosa en segundo plano y activar la cronología de Recall para forzar una solicitud de Windows Hello. Una vez que el usuario se autentica, la herramienta puede extraer cada fragmento de información capturado por la función.
"TotalRecall Reloaded permite que ese 'malware latente' se aproveche del proceso", señaló Hagenah en el informe.
Este exploit específico apunta precisamente al escenario que la nueva arquitectura de Microsoft pretendía prevenir. La función, que realiza capturas de pantalla periódicas de la actividad del usuario, almacena mucho más que simples imágenes: captura texto, mensajes, correos electrónicos, documentos e historial de navegación.
Microsoft había declarado anteriormente que el uso de un enclave de seguridad basado en virtualización restringiría los intentos de los programas maliciosos de robar datos durante la autenticación del usuario. Esta actualización se produjo tras un retraso de un año en el lanzamiento de la función, después de que fuera calificada inicialmente como una "pesadilla para la privacidad".
Esta vulnerabilidad de seguridad resurge en un momento de intenso escrutinio sobre las prácticas de seguridad de Microsoft. En un memorando interno previo, el CEO Satya Nadella instruyó a sus empleados que, si se enfrentaban a un conflicto entre la seguridad y otras prioridades, la respuesta siempre debía ser la seguridad.
