В ИИ-функции Recall в Windows 11 сохраняются проблемы с безопасностью

Одна из ключевых ИИ-функций Windows 11 под названием Recall была представлена в 2024 году вместе с первыми Copilot+ ПК . С самого начала пользователи отнеслись к ней с недоверием, а позже ситуация переросла в серьезный репутационный кризис для Microsoft: исследователи безопасности показали, насколько легко извлечь пользовательские данные. В результате компания отозвала функцию и повторно выпустила ее спустя несколько месяцев с обновленными мерами безопасности. Однако этих мер оказалось недостаточно.

Обновленный инструмент под названием TotalRecall показывает, что данные, собираемые Recall, по-прежнему остаются уязвимыми. Исследователь Александр Хагенах (Alexander Hagenah) опубликовал инструмент в GitHub и отметил, что хотя хранилище данных защищено надежно, способ передачи данных в Windows 11 остается уязвимым, и Microsoft не считает это проблемой.

Новая версия TotalRecall использует процесс AIXHost.exe для получения всех снимков. По словам исследователя, «процесс, отвечающий за отображение таймлайна Recall, не имеет PPL, AppContainer и контроля целостности кода», что позволяет внедрять код и извлекать данные после аутентификации пользователя через Windows Hello.

Сценарий атаки предполагает работу в фоне: инструмент ожидает, пока пользователь выполнит вход (например, для использования Recall), после чего может незаметно извлечь данные. Процесс AIXHost.exe не проверяет вызывающие компоненты, а все внутри него считается доверенным. Предполагалось, что обновленная модель безопасности Recall должна была предотвратить такие сценарии и исключить возможность доступа вредоносного ПО к данным. Кроме того, TotalRecall Reloaded способен получать последние сохраненные снимки даже без запроса Windows Hello.

Александр Хагенах отмечает, что несмотря на защищенность хранилища, Microsoft следует усилить защиту механизма передачи данных и процесса отображения. Исследователь передал результаты Microsoft до публикации, однако компания заявила, что TotalRecall не демонстрирует обходов защиты или уязвимостей. Инструмент TotalRecall Reloaded уже доступен публично на GitHub.