这款黑客工具可拦截Windows Recall收集数据

banq

Windows Recall 每五秒截取一次屏幕截图。网络安全研究人员表示,该系统很容易被滥用,现在一位道德黑客已经开发出一款工具来证明它是多么容易。

这款工具名为TotalRecall(没错,取自 1990 年的一部科幻电影),可以将 Recall 保存的所有信息提取到 Windows 笔记本电脑的主数据库中。

自微软 5 月中旬发布 Recall 以来,安全研究人员一直将其与可以跟踪您在设备上所做的一切的间谍软件或跟踪软件进行比较。

  • 它实际上是内置的特洛伊木马 2.0
  • TotalRecall(是为了展示其可能性,并鼓励微软在 Recall 全面推出之前做出改变。

这个非常简单的工具可以提取并显示 Windows 11 中调用功能的数据,从而提供一种轻松的方式来访问有关 PC 活动快照的信息。

什么是 Windows Recall?
2024 年5 月 20 日,微软宣布推出基于 ARM 架构的新型 Copilot+ PC
与此同时,他们还宣布将于 2024 年 6 月 18 日发布 Windows Copilot+ Recall。

  • 当您使用 PC 时,Recall 会拍摄屏幕快照。每五秒钟拍摄一次快照,而屏幕上的内容与上一次快照不同。
  • 您的快照将本地存储并在 PC 上进行本地分析。
  • Recall 的分析允许您使用自然语言搜索内容,包括图像和文本。
  • 只需询问 Recall,它就会检索与您的搜索相匹配的文本和视觉效果,并根据结果与您的搜索的匹配程度自动排序。

Recall带来严重的隐私和安全问题
未加密的数据库
Recall 每 5 秒截取一次用户活动的屏幕截图,并将其存储在设备上未加密的 SQLite 数据库中。这使得数据(包括加密消息应用程序对话、电子邮件和个人文件等敏感信息)容易被获得设备物理访问权限的攻击者访问。

数据提取工具
一位网络安全研究人员开发了一款名为 TotalRecall 的工具,它可以自动定位和提取 Recall 收集的整个屏幕截图和活动数据。这表明这些数据很容易被访问和滥用。

隐私问题
安全专家将 Recall 与间谍软件或跟踪软件进行了比较,因为它可以全面跟踪和揭露用户活动的几乎每个方面,而没有强大的隐私保护。人们担心犯罪黑客、家庭暴力者或当局可能会滥用它。

虽然 Recall 旨在将数据本地保存在设备上,而不是将其发送到 Microsoft 的服务器,但缺乏加密以及能够轻松提取所有记录数据的能力会带来重大的隐私风险。在 6 月 18 日 Recall 发布之前,Microsoft 尚未充分解决这些问题。


那么TotalRecall工具有什么作用呢?
TotalRecall 会复制数据库和屏幕截图,然后解析数据库以查找可能有趣的工件。您可以定义日期来限制提取,以及搜索感兴趣的字符串(通过 Recall OCR 提取)。这一切背后没有什么深奥的科学。这是非常基本的 SQLite 解析。


TotalRecall 的工作原理

  1. 数据提取:
    • TotalRecall 将ukg.db数据库和ImageStore文件夹复制到指定的提取文件夹。这可确保在您探索提取的数据时原始数据保持完整。
  • 数据库解析:
    • 它会解析 SQLite 数据库以提取可能有趣的信息,例如窗口标题、时间戳和图像标记。该工具会查找符合您指定条件(例如日期范围、搜索词)的条目。
  • 截图管理:
    • ImageStore如果文件夹中的图像文件.jpg没有扩展名,TotalRecall 会将其重命名。这样可以更轻松地查看和管理屏幕截图。
  • 搜索功能:
    • 您可以利用 Windows Recall 的光学字符识别 (OCR) 功能在数据库中搜索特定术语。这意味着您可以找到屏幕上显示的文本,即使它是在图像中。
  • 输出生成:
    • 该工具会生成所提取数据的摘要,包括捕获的窗口数和所拍摄图像数。它还会在文本文件中创建详细报告,列出所有捕获的数据和搜索结果。

    主要特征

    • 日期过滤:
      • 指定开始和结束日期以将提取限制在特定时间范围内。
    • 文本搜索:
      • 在捕获的数据中搜索特定文本,轻松找到相关信息。
    • 综合报告:
      • 生成详细的报告,总结捕获的窗口、图像和搜索结果,所有这些都存储在一个TotalRecall.txt文件中以便于参考。

    TotalRecall 提供了一种直接的方式来探索 Windows Recall 收集的数据。这根本不是什么深奥的科学。

    问题:
    问:数据完全在你的笔记本电脑上本地处理,对吗?
    答:是的!他们在这里做出了一些明智的决定,有一整套 Azure AI 等代码子系统在边缘进行处理。

    问:太酷了,那么黑客和恶意软件就无法访问它了,对吗?
    答:不,可以。

    问:但是它是加密的。
    答:当您登录 PC 并运行软件时,系统会为您解密。静态加密只有在有人闯入您家并偷走您的笔记本电脑时才有用 — 这不是犯罪黑客会做的事情。
    例如,InfoStealer 木马会自动窃取用户名和密码,十多年来一直是个大问题,而现在只需轻松修改即可支持 Recall。

    问:但 BBC 表示黑客无法远程访问数据。
    答:BBC引用了微软的话,是错误的。数据是可以远程访问。