Dopo una presentazione segnata da forti critiche, la funzione Recall di Microsoft è di nuovo al centro del dibattito sulla sicurezza. Il sistema, basato su IA e progettato per registrare automaticamente le attività sul PC tramite schermate, era stato già rinviato per essere riprogettato dopo le prime reazioni negative.
A distanza di un anno, nuove ricerche sollevano ulteriori dubbi sull'efficacia delle misure introdotte. Andiamo a vedere come.
TotalRecall Reloaded
Il ricercatore di cybersicurezza Alexander Hagenah ha sviluppato uno strumento chiamato TotalRecall Reloaded, in grado di estrarre e visualizzare i dati raccolti da Recall. Si tratta di un'evoluzione di un tool precedente, utilizzato per dimostrare le vulnerabilità della versione iniziale della funzione.
La revisione di Recall da parte di Microsoft aveva introdotto un sistema di protezione basato su un archivio sicuro, accessibile tramite autenticazione biometrica con Windows Hello e isolato grazie a un ambiente protetto. L'obiettivo era impedire accessi non autorizzati, anche da parte di malware in esecuzione sul dispositivo.
Secondo Hagenah, tuttavia, queste protezioni non sarebbero sufficienti. Il suo strumento potrebbe operare in background, attivando il sistema di autenticazione e sfruttando il momento in cui l'utente si identifica per accedere ai dati raccolti. In questo modo, sarebbe possibile ottenere l'intero storico delle attività registrate da Recall, inclusi messaggi, documenti e cronologia di navigazione.
Microsoft ha dichiarato di aver analizzato la segnalazione senza riscontrare vulnerabilità. L'azienda sostiene che i comportamenti descritti rientrano nei meccanismi previsti dal sistema e che esistono limiti, come timeout e protezioni contro richieste ripetute, per ridurre eventuali abusi.
Il ricercatore contesta questa interpretazione, affermando che tali limiti possono essere aggirati. Secondo la sua analisi, il problema principale non risiede nei sistemi di crittografia o nell'ambiente protetto, ma nel fatto che i dati, una volta decriptati, vengano trasferiti a processi non sufficientemente isolati.
Un ulteriore elemento di criticità riguarda la quantità di informazioni raccolte da Recall, che va oltre le semplici schermate. Il sistema memorizza infatti contenuti testuali, comunicazioni e attività online, ampliando la superficie di rischio rispetto ad altre forme di malware già note.
Va però evidenziato che alcune componenti della nuova architettura sono considerate solide, in particolare l'ambiente di sicurezza basato su virtualizzazione e il modello di autenticazione. Il nodo centrale resta quindi l'integrazione complessiva tra questi elementi e il modo in cui i dati vengono gestiti dopo l'accesso.
