Windows Recall is een functie van Microsoft die continu schermafbeeldingen maakt van je pc-activiteit. Dit helpt je om eerder bekeken informatie terug te vinden. Twee jaar geleden bleek Recall onveilig: alle data lag onversleuteld op de harde schijf. Microsoft verbeterde de beveiliging daarna flink. Data wordt nu versleuteld en alleen toegankelijk via Windows Hello-authenticatie.
Beveiligingsonderzoeker Alexander Hagenah ontdekte nu een nieuwe kwetsbaarheid in Windows Recall. Hij ontwikkelde het gereedschap ‘TotalRecall Reloaded’. Dit programma injecteert een DLL-bestand in een systeemproces genaamd AIXHost.exe. Dat kan zonder beheerdersrechten. Zodra de gebruiker inlogt via Windows Hello, onderschept het programma stiekem schermafbeeldingen en andere gevoelige data. Dit gaat zelfs door nadat de gebruiker Recall afsluit.
Hagenah vergelijkt de situatie treffend: de kluis is solide, maar de bezorgtruck niet. De beveiliging van de Recall-database zelf is sterk. Het probleem zit in de overdracht van data naar het proces AIXHost.exe. Dat proces mist dezelfde beveiligingslagen. Sommige acties, zoals het verwijderen van de volledige Recall-database, zijn zelfs mogelijk zonder enige authenticatie. Hiermee toont Hagenah aan dat Recall nog steeds een serieus privacy- en beveiligingsrisico vormt, ondanks de verbeteringen van Microsoft.
