A Microsoft voltou a ser alvo de críticas relacionadas à segurança e à privacidade após o ressurgimento de preocupações envolvendo o Recall, recurso do Windows baseado em inteligência artificial (IA) que registra capturas de tela da atividade do usuário.
Após ter sido inicialmente classificado como um “desastre” para a cibersegurança e um “pesadelo de privacidade”, o recurso passou por um atraso de um ano para ser reformulado — mas, mesmo após as mudanças, novas falhas continuam sendo apontadas.
O especialista em cibersegurança Alexander Hagenah desenvolveu uma ferramenta chamada TotalRecall Reloaded, capaz de extrair e exibir dados armazenados pelo Recall. A ferramenta é uma evolução do TotalRecall, utilizado anteriormente para demonstrar vulnerabilidades na versão original do recurso, antes de sua reformulação pela Microsoft.
Na tentativa de reforçar a segurança, a empresa implementou um “cofre” para armazenar os dados do Recall, com autenticação via Windows Hello e uso de um ambiente seguro baseado em virtualização.
O acesso às informações exige autenticação biométrica, como reconhecimento facial ou impressão digital, tanto para visualizar os dados quanto para permitir a captura de novas imagens. Em publicação de setembro de 2024, a Microsoft afirmou que essa abordagem “restringe tentativas de malwares latentes de ‘pegar carona’ na autenticação do usuário para roubar dados”.
Hagenah, no entanto, contesta essa proteção. “Minha pesquisa mostra que o cofre é real, mas o limite de confiança termina cedo demais”, afirma. Segundo ele, a ferramenta TotalRecall Reloaded consegue explorar esse ponto ao rodar silenciosamente em segundo plano e acionar a linha do tempo do Recall, levando o usuário a autenticar o acesso por meio do Windows Hello.
Após a autenticação, a ferramenta consegue extrair todo o histórico capturado pelo recurso. “Esse é exatamente o cenário que a arquitetura da Microsoft deveria impedir”, diz.
O Recall armazena uma ampla variedade de informações, indo além de simples capturas de tela. O sistema registra textos exibidos na tela, mensagens, e-mails, documentos, histórico de navegação e outros conteúdos sensíveis.
As mudanças de segurança foram implementadas meses após o CEO da empresa, Satya Nadella, afirmar a funcionários que, “se você estiver diante de uma escolha entre segurança e outra prioridade, a resposta é clara: escolha a segurança”.
O pesquisador informou suas descobertas à Microsoft no mês anterior, mas a empresa encerrou o relatório alegando não haver vulnerabilidade.
Leia mais:
- 6 recursos do Windows que todo mundo deveria conhecer
- 7 truques para usar o Windows como um profissional
- Hackers chineses usam Windows e Google Drive para espionar governos, diz empresa
Argumentos da Microsoft
Em declaração ao The Verge, David Weston, vice-presidente corporativo de segurança da Microsoft, afirmou: “Agradecemos a Alexander Hagenah por identificar e relatar o problema de forma responsável. Após investigação cuidadosa, determinamos que os padrões de acesso demonstrados são consistentes com as proteções e controles existentes e não representam uma violação de limites de segurança ou acesso não autorizado aos dados”. Segundo ele, “o período de autorização possui tempo limite e proteção contra tentativas repetidas, o que limita o impacto de consultas maliciosas”.
Hagenah, porém, discorda dessa avaliação. “Posso consultar os dados novamente, e o que estou fazendo na minha ferramenta é contornar isso. E o tempo limite é removido”, disse ao Verge. Ele também critica a comunicação oficial da empresa: “Meu maior problema ainda é eles dizerem em seu anúncio oficial que o enclave impede que ‘malware latente pegue carona’, o que claramente não acontece”.
- A ferramenta também é capaz de extrair a captura de tela mais recente armazenada em cache sem necessidade de autenticação pelo Windows Hello, além de poder apagar completamente o histórico de capturas;
- Ainda assim, o tipo de malware descrito pelo pesquisador poderia permanecer em segundo plano em um computador e capturar imagens independentemente da existência do Recall;
- A Microsoft sustenta que o comportamento apontado não configura uma falha, mas sim uma característica do funcionamento do próprio Windows;
- Processos em modo de usuário possuem a capacidade de injetar código em si mesmos, algo considerado comum e muitas vezes legítimo no sistema operacional, embora também abra espaço para abusos.
De acordo com a análise, um malware do tipo infostealer poderia, por exemplo, extrair dados de ferramentas, como o gerenciador de senhas ou o histórico de navegação, caso não fosse detectado por outras camadas de segurança do sistema. A diferença, no entanto, está na quantidade e na sensibilidade das informações armazenadas pelo Recall, que amplia os riscos potenciais.
Apesar das críticas, Hagenah reconhece avanços na reformulação do recurso. “O enclave VBS é sólido como uma rocha”, afirma. Ele também elogia o modelo de autenticação, descrito como “sem estado e livre de condições de corrida”, após milhares de testes sem sucesso em contornar o sistema.
Ainda assim, o especialista defende que a Microsoft deve avançar mais para cumprir seus próprios objetivos de segurança. “O problema fundamental não está na criptografia, no enclave, na autenticação ou no PPL”, diz. “Está no envio de conteúdo descriptografado para um processo não protegido para renderização. A porta do cofre é de titânio. A parede ao lado é de gesso.”
O post Microsoft tem mais preocupações de segurança com Windows Recall apareceu primeiro em Olhar Digital.