Anunciado pela Microsoft em 2024, o recurso Windows Recall foi duramente criticado por sua capacidade de fazer capturas de tela automáticas, que expunham seus usuários a grandes riscos de segurança. E, embora a empresa tenha ouvido a comunidade e repensado o sistema, um pesquisador alerta que ele ainda carrega consigo grandes riscos.
Segundo Alexander Hagenah, que teve a chance de investigar o funcionamento da nova versão do sistema, ele pode ser descrito como um cofre com uma porta de titânio, mas paredes de gesso (drywal). Ele afirma que, com pouco trabalho, conseguiu criar uma ferramenta que extrai facilmente todos os dados coletados pela Microsoft.
A empresa explica que, em sua versão atual, o Windows Recall funciona dentro de uma espécie de “caixa protegida” por soluções de segurança baseadas em virtualização. Assim, qualquer dado sensível só pode ser acessado por quem passa por uma verificação feita pelo sistema Hello.
Windows Recall permanece inseguro
Em sua avaliação, Hagenah afirma que a solução de segurança feita pela Microsoft é real, mas seus limites de confiança “acabam cedo demais”. Para vencer as barreiras do Windows Recall, ele criou a ferramenta TotalRecall Reloaded, que fica esperando em segundo plano até uma sessão ser iniciada.
A partir do momento em que o Hello permite o início de uma sessão, o software espião é capaz de obter acesso a todas as capturas de tela feitas pelo sistema operacional. Esses dados podem ser guardados e exportados para outros lugares, sem que nenhuma barreira adicional impeça que isso seja feito.
O pesquisador afirma que sua ferramenta simples cria exatamente o tipo de cenário que as novas soluções de segurança da Microsoft deveriam evitar. Assim, antes de compartilhar suas descobertas com o público, ele alertou a empresa sobre as falhas e deu sugestões de como ela pode ser corrigida.
No entanto, ele afirma que recebeu como resposta da empresa o posicionamento de que a capacidade de roubar dados coletados pelo Windows Recall “não é uma vulnerabilidade” — posição que ela manteve em uma declaração enviada ao The Verge. Dado que o sistema é capaz de registrar informações sensíveis como histórico de navegação, comunicações pessoais e senhas de acesso, a postura oficial da companhia não inspira muita confiança no momento.
