TotalRecall: un hacker recopila datos personales de los usuarios de Windows Recall

Poco antes del lanzamiento oficial de Windows Recall en nuevos PC con Copilot+, investigadores de seguridad demostraron que las versiones preliminares de la herramienta almacenan capturas de pantalla en una base de datos sin cifrar.

El hacker ético Alex Hagenah lanzó una herramienta llamada TotalRecall, demostrando lo fácil que es extraer todos los datos de esta base. Hagenah señala que toda la información en la base de datos se almacena como texto sin formato. Hagenah publicó la herramienta en GitHub para mostrar sus capacidades e impulsar a Microsoft a realizar cambios antes del lanzamiento de Recall.

Hagenah explica que TotalRecall encuentra automáticamente la base de datos de Recall en el portátil y la copia, analizando todos los datos. El sistema puede establecer un rango de fechas para la extracción de datos, por ejemplo, una semana o un día específico. Extraer un día de capturas de pantalla de la base de datos de Recall le tomó a Hagenah menos de 2 segundos.

Entre los datos que guarda la base se encuentran capturas de pantalla de todo lo que aparece en el escritorio, incluyendo mensajes en los mensajeros Signal y WhatsApp, que permanecen incluso con la función de mensajes que desaparecen activada. Cabe destacar que se toman capturas de pantalla cada pocos segundos. También se registran los sitios web visitados y todo el texto mostrado.

Según Hagenah, un atacante podría obtener una enorme cantidad de información sobre su víctima, incluyendo correos electrónicos, conversaciones personales y cualquier dato confidencial registrado por Recall. La base de datos principal de Recall se almacena en el directorio del sistema del portátil, y se requieren derechos de administrador para acceder a ella. Sin embargo, los ataques de escalada de privilegios teóricamente permiten a un atacante obtener acceso remoto al dispositivo.

Hagenah advierte que, en el caso de políticas corporativas BYOD (Bring Your Own Device), existe el riesgo de que los empleados puedan llevarse enormes volúmenes de datos corporativos guardados en sus portátiles de trabajo. Esto es especialmente peligroso si los empleados dejan la empresa en malas condiciones.

El trabajo de Hagenah se basa en las investigaciones de Kevin Beaumont, quien describió en detalle la cantidad de información guardada por Recall y la facilidad para extraerla. Beaumont también creó un sitio web donde se puede cargar la base de datos de Recall y verla instantáneamente. Sin embargo, aún no ha lanzado el sitio al público para dar tiempo a Microsoft de realizar posibles cambios en el sistema.

Desde el anuncio de Recall a mediados de mayo, los investigadores han comparado repetidamente la herramienta con spyware que puede rastrear cada acción en el dispositivo. Los reguladores británicos incluso se han puesto en contacto con los representantes de la compañía para obtener más información. En las redes sociales también se discute el riesgo de que los dispositivos personales sean confiscados al cruzar la frontera o en caso de arresto, así como la posibilidad de pérdida o robo.

Recall sigue siendo una función "preliminar" y, según Microsoft, puede cambiar antes de su lanzamiento oficial. Beaumont en sus investigaciones afirma que la compañía "debería retirar Recall y rediseñarlo para hacerlo digno y lanzarlo más tarde".