Vários pesquisadores de segurança cibernética demonstraram como o malware pode roubar dados coletados pelo recurso Recall recentemente introduzido pela Microsoft.
Recall, um recurso ativado por padrão dos novos PCs Copilot+, permite que os usuários do Windows encontrem facilmente algo que sabem que já viram em seus PCs.
O recurso Recall faz capturas de tela em intervalos regulares para capturar as atividades do usuário. Todos os dados são armazenados e processados localmente, o que a Microsoft esperava que aliviasse possíveis preocupações com privacidade.
No entanto, especialistas em segurança cibernética e privacidade levantaram imediatamente preocupações, inclusive devido às capturas de tela que, potencialmente continham informações altamente confidenciais, como senhas e dados financeiros, por conta da intrusividade do recurso.
A Microsoft disse à mídia que um agente de ameaça precisaria de acesso físico e credenciais válidas a uma máquina para obter os dados coletados, mas pesquisadores começaram a argumentar que a afirmação é falsa.
O pesquisador Marc-André Moreau mostrou como uma senha de gerenciador de desktop remoto coletada pelo Recall pode ser facilmente recuperada de um banco de dados SQLite local não criptografado, facilitando a obtenção por malware que rouba informações.
Outro especialista em segurança cibernética, Alexander Hagenah, disponibilizou uma ferramenta de código aberto, chamada TotalRecall, que pode extrair e exibir facilmente dados do banco de dados Recall.
“É um pouco decepcionante ver que um recurso tão poderoso não leva a segurança mais a sério. Espero que a Microsoft resolva isso antes do lançamento oficial”, disse Hagenah.
O pesquisador Kevin Beaumont examinou atentamente a segurança do Recall e alertou que os agentes de ameaças poderiam modificar os infostealers para obter dados do novo recurso do Windows.
Beaumont disse que os dados coletados pela Recall são compactados de forma eficiente, com dados de vários dias precisando de menos de 100kB de armazenamento.
O pesquisador afirma que conduziu testes usando um malware infostealer pronto para uso, que conseguiu exfiltrar dados do Recall antes de serem detectados pelo Microsoft Defender para Endpoint.
O Recall está atualmente em versão prévia e a Microsoft ainda pode fazer alterações nele antes que esteja disponível para o público geral.
Para saber mais, clique aqui.
