Etik hacker Alexander Hagenah, kötü niyetli kişilerin hassas bilgileri çalmak için Windows’un yeni duyurulan Geri Çağırma özelliğini nasıl kötüye kullanabileceğini gösteren bir araç olan TotalRecall’ı yarattı.
TotalRecall sonuçları (Kaynak: Alexander Hagenah)
Copilot+ Recall ve güvenlik tuzakları
20 Mayıs’ta Microsoft, Copilot+ adı verilen yeni Windows 11 destekli bilgisayar serisini duyurdu. Önizlenen özellikleri arasında, güvenlik profesyonelleri ve gizliliğe önem veren kullanıcılar tarafından hemen şüpheyle karşılanan Geri Çağırma da vardı.
Copilot+ Recall, birkaç saniyede bir bilgisayar ekranının anlık görüntülerini alır (bazı şeyler hariç tutulabilir), anlık görüntüleri şifreler ve yerel olarak saklar, kullanıcıların daha sonra arayabileceği ilgili bilgileri çıkarmak için optik karakter tanımayı (OCR) kullanır ve bu verileri yerel olarak saklar bir SQLite veritabanında, düz metin olarak.
Teorik olarak, bilgisayara oturum açtığında yalnızca kullanıcı erişebilir. Ancak pratikte, bilgi çalan kötü amaçlı yazılımlar ve bilgisayar korsanları buna erişebilir ve aynı cihazdaki diğer kullanıcılar da erişebilir.
Güvenlik araştırmacısı Kevin Beaumont bu özelliği test etti ve Recall veritabanlarının sızmasının otomatikleştirilebileceğini kanıtladı.
“Geri çağırma, tehdit aktörlerinin baktığınız her şeyi saniyeler içinde otomatik olarak kazımasına olanak tanıyor” dedi.
“Bunu kullanıma hazır bir bilgi hırsızıyla test ederken, kullanıma hazır bilgi hırsızlığını tespit eden Uç Nokta için Microsoft Defender’ı kullandım, ancak otomatik iyileştirme devreye girdiğinde (on dakikadan fazla sürdü) Geri Çağırma verilerim çoktan kaybolmuştu. ”
Ayrıca Microsoft’u bu özelliği varsayılan olarak etkinleştirdiği ve bunu devre dışı bırakma sorumluluğunu kullanıcılara yüklediği için eleştirdi ve Recall kapalı olsa bile saldırganların Powershell ile kullanıcı farkına varmadan bu özelliği kolayca açabileceğine dikkat çekti.
Toplam Geri Çağırma
Hagenah başlangıçta meraktan harekete geçmişti: Bu özellikle ne yapabileceğini, onu kötüye kullanıp kullanamayacağını bilmek istiyordu ve bu özelliği kullanmanın güvenli olup olmayacağını kendisi kontrol etmek istiyordu. Ancak öyle olmadığını tespit ettikten sonra kamuoyunu bilinçlendirmenin önemli olduğunu düşündü. Help Net Security’ye “Bunun tehlikeli olabileceğini bilmeliler” dedi.
TotalRecall, Recall veritabanını bulur, alınan ekran görüntülerini ve SQLite veritabanını bir çıkarma klasörüne kopyalar, kullanıcı tarafından belirtilen yapılar (örn. şifreler, arama terimleri, kredi kartı bilgileri vb.) için veritabanlarını ayrıştırır ve ardından bir özet sunar. bu eserleri içerir.
Araçta değişiklik yapmayı planlamıyor. “PoC olduğu gibi duruyor. MS’in Recall’ın lansmanından önce ne yapacağını çok merak ediyorum” dedi Help Net Security’ye.
Copilot+ Recall’ın 18 Haziran 2024’te piyasaya sürülmesi planlanıyor. Microsoft bunu ertelemeye veya tümünü iptal etmeye karar vermezse (ki bu pek olası değil), bu korkunç güvenlik kusurlarını gidermek için değişiklikler yapacağı umulmalıdır.