Windows Recall tenía como objetivo facilitar la búsqueda en el historial de tu PC, pero una nueva prueba de concepto está poniendo en entredicho esa promesa una vez más.
TotalRecall Reloaded muestra cómo la información capturada por la función de Windows 11 aún puede ser interceptada después de iniciar sesión, incluso después de que Microsoft renovara sus medidas de protección tras la polémica del año pasado.
La función de recuperación no captura solo un pequeño fragmento de actividad. Puede conservar un registro visual completo de lo que sucede en su PC, incluyendo aplicaciones, sitios web, mensajes y demás contenido en pantalla.
Microsoft modificó la función para que su uso fuera opcional y añadió cifrado, además de la protección de Windows Hello, pero los últimos hallazgos sugieren que el punto débil se produce después de que el servicio se desbloquea y comienza a transferir información a otro proceso del sistema.
El eslabón más débil puede estar en otro lugar.
La última afirmación es que la base de datos en sí ya no es el lugar más fácil de atacar. En cambio, la vulnerabilidad comienza después de que alguien se autentica con Windows Hello y el sistema empieza a enviar capturas de pantalla, texto extraído y metadatos a un proceso independiente llamado AIXHost.exe.
Según se informa, TotalRecall Reloaded inyecta código en ese proceso sin privilegios de administrador y luego espera a que se abra la sesión y comience a transmitirse la información.
Algunas acciones, como obtener la última captura de pantalla, recopilar metadatos específicos y eliminar el archivo completo, pueden realizarse sin autenticación mediante Windows Hello.
Microsoft lo ve de otra manera.
Microsoft declaró a Ars Technica que el comportamiento mostrado por el investigador se ajusta a sus medidas de protección previstas y a los controles existentes, y afirmó que no constituye una vulneración de los límites de seguridad ni un acceso no autorizado.
Los hallazgos se enviaron al Centro de Respuesta de Seguridad de Microsoft el 6 de marzo, y la compañía los clasificó como no vulnerables el 3 de abril.
Es poco probable que esa respuesta tranquilice a la gente. Cualquiera que pueda acceder a tu PC y usar tu PIN de Windows Hello aún podría acceder a un archivo detallado de correos electrónicos, actividad de navegación, mensajes y otros datos personales.
¿Por qué persiste el problema de la confianza?
La función Recall ya estaba bajo escrutinio porque puede registrar gran parte de lo que sucede en un PC, y este informe da a los críticos otra razón para seguir siendo escépticos, incluso si Microsoft afirma que el comportamiento funciona según lo previsto.
Signal , Brave y AdGuard ya han tomado medidas para evitar que su contenido aparezca en Recall de forma predeterminada, lo que demuestra que la preocupación va más allá de los investigadores de seguridad.
Para los usuarios de Windows 11, la conclusión es práctica. Si no necesitas la función Recall, lo más seguro es dejarla desactivada. Si la quieres, considérala una función práctica que implica ciertas limitaciones de privacidad, y observa si más aplicaciones empiezan a desactivarla próximamente.