Am Puls von Microsoft

KI-Suche Recall in Windows 11: Microsoft dementiert angebliche Sicherheitslücke

KI-Suche Recall in Windows 11: Microsoft dementiert angebliche Sicherheitslücke

Sicherheitsexperte glaubt, eine Schwachstelle in der KI-Suche Recall in Windows 11 gefunden zu haben. Microsoft verneint das Risiko, doch der Entdecker widerspricht der Darstellung der Redmonder.

Alexander Hagenah hat ein Tool mit dem Namen „TotalRecall Reloaded“ geschrieben, welches Daten aus der Datenbank von Windows Recall ausliest. Dabei macht er sich zunutze, dass der zugehörige Prozess AIXHost.exe außerhalb der geschützten Umgebung von Recall läuft (via TheVerge, Winfuture).

Die gute Nachricht: Hagenah  ist es nicht gelungen, die lokale Datenbank von Recall zu knacken. In verschlüsselter Form sind dort alle Daten abgelegt, die Recall aufzeichnet. Die Funktion fertigt in kurzen Abständen Screenshots an und indiziert diese, damit deren Inhalte durchsuchbar sind. Sensible Daten wie Kennwörter oder Bankkonten filtert Recall laut Microsoft aus. Praktische Versuche haben allerdings gezeigt, dass dies nicht immer zuverlässig funktioniert.

Um die verschlüsselten Informationen wieder nutzbar zu machen, muss Windows diese zunächst wieder entschlüsseln. Genau hier grätscht „TotalRecall Reloaded“ dazwischen und greift die Informationen ab.

Microsoft sieht keine Sicherheitslücke

Dass Informationen, die im Kontext des angemeldeten Benutzers offenliegen, von anderen Programmen genutzt werden können, die ebenfalls unter dem Konto des angemeldeten Benutzers laufen, ist unter Windows Standard. Daher sieht Microsoft hierin auch keine Sicherheitslücke und hat die Meldung von Alexander Hagenah geschlossen. Ergänzend sagt Microsoft, dass man mit Timeouts und weiteren Schutzmechanismen arbeitet, um den Zugriff auf die von Recall gespeicherten Daten zusätzlich abzusichern.

Der Experte widerspricht

Hagenah behauptet allerdings, dass es ihm gelungen sei, diese Timeouts zu umgehen. Dadurch ist sein Tool „TotalRecall Reloaded“ in der Lage, fortwährend Informationen aus der Recall-Datenbank abzugreifen. Die obligatorische Authentifizierung durch Windows Hello beim Öffnen der Recall-Datenbank könne sein Tool im Hintergrund erzwingen.

Wer hat recht?

Eine objektive Einordnung fällt schwer. Ein erfolgreicher Angriff auf Recall hätte schwerwiegende Folgen, weil sich auf diese Weise mindestens ein Verhaltensprofil erstellen lässt. Im schlimmsten Fall könnten sensible Informationen abgegriffen werden.

Andererseits ist es so, dass das zugehörige Spionagetool erst einmal den Weg auf den PC finden muss, der Ziel des Angriffs ist. Wenn es dort erst einmal angekommen ist, dann kann es wie jedes andere Programm auch auf frei verfügbare Informationen zugreifen. Mir fällt immer wieder auf, dass Windows-Nutzern genau dieses Bewusstsein oft fehlt: Jedes gestartete Programm auf Deinem Rechner kann lesen, was Du auch lesen kannst.

Wenn die Behauptung von Hagenah, die zusätzlichen Absicherungen umgangen zu haben, zutreffend ist, dann hat Microsoft hier definitiv eine Hausaufgabe.

DrWindows News per WhatsApp: Abonniere unseren Kanal.
Artikel im Forum diskutieren (2)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 19 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige