MADRID 16 abr. (Portaltic/EP) -
A ferramenta Windows Recall da Microsoft volta a ser questionada em termos de segurança, após se comprovar que ainda é possível extrair dados confidenciais por meio da ferramenta TotalRecall Reloaded, mesmo após sua reformulação com a incorporação de recursos de proteção.
A ferramenta Recall (memórias) foi anunciada em maio de 2024 como uma das funções de inteligência artificial (IA) para os computadores Copilot+, com o objetivo de ajudar o usuário a retornar a conteúdos pesquisados anteriormente, tanto em aplicativos quanto em documentos ou sites. Para isso, ela captura imagens da tela do computador periodicamente e cria uma espécie de “memória fotográfica”, que é reunida em uma linha do tempo.
No entanto, teve um início polêmico porque se entendeu que poderia colocar em risco as informações privadas dos usuários e que, inicialmente, as capturas não eram armazenadas criptografadas. Isso levou ao adiamento de seu lançamento em várias ocasiões e à incorporação de novas medidas de privacidade e segurança, como a obrigatoriedade de usar o Windows Hello e a possibilidade de desativar o Recall no sistema operacional.
Por fim, a Microsoft lançou a prévia definitiva do Windows Recall em abril do ano passado, como parte da compilação 26100.3902 do Windows 11, e informou que ele chegaria ao Espaço Econômico Europeu no final de 2025.
Agora, o especialista em segurança cibernética Alexander Hagenah voltou a demonstrar que o Recall continua apresentando graves problemas de segurança para os usuários, apesar das modificações introduzidas pela Microsoft.
Especificamente, a reformulação da Microsoft para aumentar a segurança da ferramenta baseou-se na criação de um cofre seguro para os dados do Recall, em conjunto com a autenticação via Windows Hello e o Enclave de Segurança baseado em virtualização, que é um ambiente seguro para os dados.
Segundo a Microsoft, essas modificações restringem “as tentativas de ‘malware’ latente que tenta acompanhar a autenticação do usuário para roubar dados”, mas a nova ferramenta desenvolvida por Hagenah, TotalRecall Reloaded, demonstra o contrário.
Conforme explicou em uma publicação compartilhada no LinkedIn, sua nova ferramenta pode extrair e visualizar todas as informações capturadas e armazenadas pela memória fotográfica do Recall.
Especificamente, o TotalRecall Reloaded é executado silenciosamente em segundo plano e é capaz de ativar a linha do tempo do Recall para “forçar o usuário a se autenticar com um prompt do Windows Hello”. Uma vez que se acessa o Microsoft Recall utilizando as credenciais biométricas do Windows Hello, a ferramenta aproveita para se infiltrar no Recall e extrair os dados.
“Minha pesquisa mostra que o cofre é real, mas o limite de confiança termina muito cedo”, detalhou Hagenah, ao mesmo tempo em que lembrou que a Microsoft declarou publicamente que a reformulação tinha como objetivo “restringir que o ‘malware’ latente se incorporasse à autenticação do usuário, e que os processos fora do enclave recebessem apenas os dados devolvidos após a autorização”. No entanto, o TotalRecall Reloaded “faz com que esse ‘malware’ latente permaneça com ele”.
Seguindo essa linha, ele afirmou que o alcance é alto e que o TotalRecall Reloaded não apenas obtém capturas de tela, mas também o histórico de texto que apareceu na tela do usuário, mensagens de e-mail, documentos, contexto de navegação, marcas de tempo e metadados gerados por IA. “Juntos, eles constroem um perfil de comportamento detalhado de tudo o que você faz no seu computador”, alertou.
MICROSOFT DESCONSIDERA A VULNERABILIDADE
O especialista comunicou suas descobertas sobre o TotalRecall Reloaded à Microsoft no início de março; no entanto, ele observou que a empresa de tecnologia “encerrou o caso”, alegando que não se trata de uma vulnerabilidade.
“Após uma investigação cuidadosa, determinamos que os padrões de acesso demonstrados são consistentes com as proteções previstas e os controles existentes, e não representam uma burla a um limite de segurança nem um acesso não autorizado aos dados”, declarou o vice-presidente corporativo da Microsoft Security, David Weston, em declarações ao The Verge, ao mesmo tempo em que esclareceu que o período de autorização “possui proteção contra tempo limite e marteling, o que limita o impacto de consultas maliciosas”.
No entanto, também em declarações ao referido veículo, Hagenah reiterou que o maior inconveniente é a Microsoft afirmar que “o enclave impede que o ‘malware’ latente circule”, quando “claramente não é assim”.
Isso se deve ao fato de que, de acordo com seus testes com o TotalRecall Reloaded, é possível extrair a última captura de tela armazenada em cache do Windows Recall sem a necessidade de autenticação pelo Windows Hello ou de apagar o histórico de capturas. Além disso, Hagenah também afirma que o 'malware' pode permanecer em segundo plano no PC e fazer capturas de tela por conta própria, sem a necessidade do Windows Recall.
Vale lembrar que a Microsoft está ciente de que a implementação atual do Recall não teve sucesso e, por isso, está repensando sua estratégia, buscando formas de fazê-la evoluir, mesmo que isso implique em dar-lhe outro nome, como foi divulgado recentemente.
Além disso, o pesquisador Hagenah já havia divulgado os problemas de segurança iniciais do Windows Recall com uma primeira ferramenta, o TotalRecall.
Esta notícia foi traduzida por um tradutor automático