Total Recall : robando los datos recopilados por Windows Recall

Iniciado por AXCESS, Junio 09, 2024, 03:45:46 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 09, 2024, 03:45:46 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El hacker ético Alexander Hagenah ha creado TotalRecall, una herramienta que demuestra cómo personas malintencionadas pueden abusar de la función Recall recientemente anunciada de Windows para robar información confidencial.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Copilot+ Recall y sus problemas de seguridad

El 20 de mayo, Microsoft anunció una nueva línea de PC con Windows 11 llamada Copilot+. Entre sus características estaba Recall, que inmediatamente fue vista con sospecha por profesionales de seguridad y usuarios preocupados por la privacidad.

Copilot+ Recall toma instantáneas de la pantalla de la computadora cada pocos segundos (algunas cosas pueden excluirse), cifra y almacena las instantáneas localmente, utiliza el reconocimiento óptico de caracteres (OCR) para extraer información relevante que los usuarios pueden buscar más tarde y almacena estos datos localmente. en una base de datos SQLite, en texto plano.

En teoría, sólo el usuario puede acceder a él cuando inicia sesión en la computadora. Sin embargo, en la práctica, el malware que roba información y los piratas informáticos pueden acceder a él, al igual que otros usuarios en el mismo dispositivo.

El investigador de seguridad Kevin Beaumont probó la función y demostró que la exfiltración de las bases de datos de Recall se puede automatizar.

"La recuperación permite a los actores de amenazas automatizar la extracción de todo lo que has visto en cuestión de segundos", dijo.

"Durante la prueba con un ladrón de información (infostealer), utilicé Microsoft Defender para Endpoint, que detectó el ladrón de información, pero cuando se activó la corrección automática (que tomó más de diez minutos), mis datos de recuperación ya habían desaparecido."

También criticó a Microsoft por habilitar la función de forma predeterminada y hacer que los usuarios tengan la responsabilidad de deshabilitarla, y señaló que incluso si Recall está desactivado, los atacantes pueden activarlo fácilmente con Powershell sin que el usuario se dé cuenta.

TotalRecall

Al principio, Hagenah estaba motivado por la curiosidad: quería saber qué podía hacer con la función, si podía abusar de ella y quería comprobar por sí mismo si sería seguro utilizarla. Pero una vez que determinó que no era para nada segura, pensó que era importante crear conciencia entre el público. "Deben saber que puede ser peligroso", dijo a Help Net Security.

TotalRecall encuentra la base de datos de Recall, copia las capturas de pantalla tomadas y la base de datos SQLite en una carpeta de extracción, analiza las bases de datos en busca de artefactos especificados por el usuario (por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de crédito, etc.) y luego entrega un resumen que incluye esos artefactos.

No planea realizar cambios en la herramienta. "El PoC permanece como está. Tengo mucha curiosidad por saber qué hará MS antes del lanzamiento de Recall", dijo a Help Net Security.

Copilot+ Recall está programado para lanzarse el 18 de junio de 2024. Si Microsoft no decide retrasarlo o descartarlo todo (lo cual es poco probable), es de esperar que realice cambios para abordar estas atroces fallas de seguridad.

Fuente:
Help Net Security
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Via:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario