Microsofts CEO Satya Nadella pochwalił nową funkcję "Recall", która przechowuje historię pulpitu komputera i udostępnia ją do analiz AI, jako „fotograficzną pamięć” dla PC. Jednak w społeczności zajmującej się cyberbezpieczeństwem funkcja ta jest krytykowana jako "sen hakerów" i jeden z najgorszych pomysłów produktowych ostatnich czasów.
Sicherheitslücken in der Recall-Funktion entdeckt
Am Mittwoch veröffentlichten Sicherheitsforscher neue Erkenntnisse, die zeigen, dass selbst die verbleibenden Sicherheitsmaßnahmen von Recall leicht umgangen werden können. James Forshaw, Forscher bei Googles Project Zero, zeigte in einem Blogpost zwei Methoden auf, wie man die Administratorrechte umgehen und auf die Recall-Daten zugreifen kann. „Kein Admin erforderlich ;-)“, schrieb Forshaw abschließend in seinem Beitrag.
W środę badacze ds. bezpieczeństwa opublikowali nowe odkrycia, które pokazują, że nawet pozostałe środki bezpieczeństwa Recall mogą być łatwo ominięte. James Forshaw, badacz z Project Zero Google, przedstawił w poście na blogu dwie metody obchodzenia uprawnień administratora i uzyskiwania dostępu do danych Recall. „Administrator nie jest wymagany ;-)”, napisał Forshaw na zakończenie swojego wpisu.
Forshaw wyjaśnił, że jedną z metod jest tymczasowe udawanie programu o nazwie AIXHost.exe na komputerach z systemem Windows, który może uzyskać dostęp do ograniczonych baz danych. Prostszą metodą jest przepisanie list kontrolnych dostępu na urządzeniu docelowym, aby uzyskać dostęp do całej bazy danych.
Reaktionen und Konsequenzen
Alex Hagenah, strateg cybersercurity, wyraził zaskoczenie łatwością metod. Hagenah niedawno opracował narzędzie o nazwie TotalRecall, które pokazywało, jak napastnik mógłby wyodrębnić dane Recall. Dotąd jego narzędzie wymagało uprawnień administratora do działania. Dzięki metodom Forshawa nie jest to już konieczne.
Te ujawnienia zwiększają obawy, że Recall działa zasadniczo jako preinstalowane oprogramowanie szpiegujące na urządzeniu użytkownika i może być łatwo wykorzystywane przez hakerów. Dave Aitel, założyciel firmy zajmującej się cyberbezpieczeństwem Immunity, podkreślił: „To sprawia, że Twoje bezpieczeństwo staje się bardzo kruche, ponieważ każdy, kto tylko na chwilę uzyska dostęp do Twojego urządzenia, może zobaczyć całą Twoją historię.”
Microsofts Antwort bleibt aus
Bisher wurde Recall in Vorschauversionen getestet, bevor es später in diesem Monat offiziell eingeführt werden soll. Microsoft plant, die Funktion auf kompatiblen Copilot+ PCs standardmäßig zu aktivieren. Trotz Anfragen hat Microsoft bisher nicht auf die Erkenntnisse von Forshaw reagiert.
Dotychczas Recall był testowany w wersjach próbnych, zanim został oficjalnie wprowadzony do użytkowania w późniejszym okresie tego miesiąca. Microsoft planuje standardowo aktywować tę funkcję na kompatybilnych komputerach Copilot+. Pomimo zapytań, Microsoft nie odpowiedział jeszcze na wnioski Forshawa.
Jake Williams, były haker NSA i obecnie wiceprezes ds. badań i rozwoju w firmie doradczej ds. cyberbezpieczeństwa Hunter Strategy, wyraził poważne obawy: „To jeden z najstraszniejszych przypadków, jakie kiedykolwiek widziałem z perspektywy bezpieczeństwa korporacyjnego.” Skrytykował fakt, że funkcja została wprowadzona na rynek bez odpowiedniego sprawdzenia przez zespół ds. cyberbezpieczeństwa Microsoftu.
Diese jüngsten Enthüllungen werfen ein weiteres Schlaglicht auf die Notwendigkeit einer sorgfältigen Sicherheitsprüfung neuer Technologien und die potenziellen Risiken, die mit ihrer Einführung verbunden sind.
→
Te najnowsze rewelacje rzucają kolejne światło na potrzebę starannej kontroli bezpieczeństwa nowych technologii oraz potencjalne ryzyko związane z ich wprowadzeniem.
