Функция «Восстановление Windows» по-прежнему предоставляет доступ к вашей личной истории ПК.

Дядя Влад

Функция Windows Recall была призвана упростить поиск по истории вашего ПК, но новый экспериментальный проект снова ставит под сомнение это обещание.

В книге TotalRecall Reloaded показано, как информация, перехваченная функцией Windows 11, может быть перехвачена даже после входа в систему, несмотря на то, что Microsoft переработала свои средства защиты после прошлогодней критики.

Функция запоминания не фиксирует узкий срез активности. Она может сохранять обширную визуальную запись всего, что происходит на вашем ПК, включая приложения, веб-сайты, сообщения и другой контент на экране.

Microsoft изменила назначение этой функции на добровольное использование и добавила шифрование, а также защиту Windows Hello, но последние данные свидетельствуют о том, что слабым местом становится процесс, который начинает передавать информацию другому системному процессу после разблокировки службы.

Более слабое звено может находиться в другом месте.

Последнее утверждение заключается в том, что сама база данных больше не является самым простым местом для атаки. Вместо этого, уязвимость начинается после аутентификации с помощью Windows Hello, и система начинает отправлять скриншоты, извлеченный текст и метаданные в отдельный процесс под названием AIXHost.exe.

Идентификация пользователя с помощью функции «Запоминание» в Windows 11.
Надим Сарвар / Digital Trends

По имеющимся данным, TotalRecall Reloaded внедряет код в этот процесс без прав администратора, а затем ожидает открытия сессии и начала передачи информации.

Некоторые действия, включая получение последнего снимка экрана, сбор определенных метаданных и удаление всего архива, могут выполняться без аутентификации Windows Hello.

Microsoft придерживается иного мнения.

Компания Microsoft сообщила изданию Ars Technica, что поведение исследователя соответствует заявленным мерам защиты и существующим средствам контроля, и заявила, что это не является обходом границ безопасности или несанкционированным доступом.

Результаты проверки были отправлены в Центр реагирования на инциденты безопасности Microsoft 6 марта, и 3 апреля компания классифицировала их как не представляющие уязвимости.

Отображение функции «Запуск Windows 11» на панели задач.
Надим Сарвар / Digital Trends

Такой ответ вряд ли успокоит нервы. Любой, кто получит доступ к вашему компьютеру и использует ваш резервный PIN-код Windows Hello, всё равно сможет получить доступ к подробному архиву электронных писем, истории просмотров, сообщений и других личных данных.

Почему проблема доверия сохраняется

Функция Recall уже подвергалась критике, поскольку она может записывать большую часть происходящего на ПК, и этот отчет дает критикам еще одну причину оставаться скептиками, даже если Microsoft утверждает, что эта функция работает так, как задумано.

Signal , Brave и AdGuard уже предприняли шаги, чтобы по умолчанию исключить свой контент из функции «Отзыв», что свидетельствует о том, что эта проблема волнует не только исследователей в области безопасности.

Для пользователей Windows 11 вывод практичен. Если функция «Запись отзыва» вам не нужна, лучше её отключить. Если же она вам необходима, рассматривайте её как удобную функцию, но с реальными компромиссами в отношении конфиденциальности, и посмотрите, начнут ли другие приложения отключать её.