研究员展示恶意软件如何窃取 Windows Recall 数据

Recall 是新型 Copilot + 个人电脑的默认启用特性，可使 Windows 用户轻松找到之前在个人电脑上看到过的东西。该特性可定时截屏，抓取用户活动。所有数据都在本地存储和处理，而这么做的原因是微软希望降低潜在的隐私担忧。

然而，网络安全和隐私专家立即提出质疑，包括截屏中可能包括高度敏感信息如密码和金融数据以及该特性的入侵性。微软指出，攻击者需要物理访问权限和机器的有效凭据才能获得这些所收集数据，但研究人员已开始展示这一说法是错误的。

安全研究员Marc-André Moreau展示了 Recall收集的远程桌面管理器密码可从轻易的本地未加密 SQLite 数据库中恢复，使得信息窃取恶意软件很容易获取它。

另外一名网络安全专家 Alexander Hagenah 已发布一款开源工具 TotalRecall，可轻松提取和展示 Recall 数据库中的数据。Hagenah 表示，“看到如此强大的特性未认真对待安全有点让人失望。我希望微软能在官方发布前修复。”研究员 Kevin Beaumont 详细查看了 Recall 的安全性并提醒称威胁行动者将修改信息窃取器，从Recall特性中抓取数据。Beaumont 表示Recall 收集的数据已有效压缩，数天的数据仅需不到100 kb 的存储空间。他表示已通过现成可用的信息窃取恶意软件进行了测试，在微软 Defender for Endpoint 能够检测到之前提取了 Recall 数据。

目前 Recall 正在预览阶段，微软仍有机会进行修改。

目前，微软尚未就此事置评。