Windows Recall(回忆)功能的安全争议,从未真正平息。
尽管微软在经历了最初的广泛批评后,对 Recall 进行了重新设计,增加了加密隔离区和生物识别验证等重重防护,但一名安全研究人员最新发布的工具 TotalRecall Reloaded 再次证明:只要数据被解密使用,它就处于危险之中。
🕵️♂️ TotalRecall Reloaded:一次“合法”的窃取演示
与安全漏洞不同,这次攻击利用的是系统的预期行为。
研究人员 Alexander Hagenah 开发的这款工具,模拟了一种高级恶意软件的行为模式:
- 静默潜伏:在后台运行,等待时机。
- 触发界面:当用户主动打开 Recall 搜索历史时,工具会触发 Recall 界面。
- 借用身份:系统提示用户通过 Windows Hello(面部或指纹)进行验证。一旦用户通过验证,Recall 数据会在内存中解密以供显示。
- 数据提取:此时,TotalRecall Reloaded 利用进程间通信机制,直接从内存中提取已解密的快照数据。
简而言之,恶意软件不需要破解加密,它只需要“搭便车”,利用用户自己的合法访问权限来窃取数据。
🛡️ 微软的回应:这是“设计特性”,不是 Bug
面对指控,微软的态度强硬且明确:这不构成安全漏洞。
微软安全副总裁 David Weston 表示:“经过调查,我们确定所展示的访问模式与预期的保护措施一致……并不代表绕过安全边界。”
微软的逻辑是:
- 数据在静态存储时是加密的(VBS 保护)。
- 访问需要严格的生物识别验证。
- 一旦用户验证通过,数据解密供用户使用是操作系统的正常逻辑。
- 系统已有超时和防暴力破解机制。
⚖️ 争议核心:信任边界的错位
Hagenah 对此反驳道:“保险库很坚固,但周围的结构并不坚固。”
这揭示了现代操作系统安全的一个经典困境:
- 微软视角:只要加密密钥不被窃取,静态数据就是安全的。用户验证后的数据访问属于“可信环境”。
- 研究者视角:在现代威胁模型中,本地恶意软件无处不在。如果解密后的数据在内存中对其他进程可见,那么加密的意义就被削弱了。真正的安全应确保即使在被劫持的会话中,敏感数据也不易被批量提取。
💡 对普通用户意味着什么?
Recall 的核心价值在于其“照片式记忆”——它记录了你浏览的网页、聊天的内容、处理的文档。这不仅是元数据,而是完整的数字生活时间线。
- 风险放大:传统数据泄露可能只泄露密码或邮箱,而 Recall 泄露的是你的行为轨迹、私人对话甚至未保存的工作草稿。
- 意识提升:用户需要意识到,任何承诺“记住一切”的 AI 功能,本质上都是在集中风险。便利性越高,潜在的攻击面越大。
🔄 微软的未来:重塑而非放弃
尽管争议不断,微软并未打算放弃 Recall。相反,公司承认当前实现“未达到预期效果”,并正在探索重塑这一体验。
未来的 Recall 可能会:
- 采用更严格的数据隔离机制。
- 引入更细粒度的用户控制权(如哪些应用不可被记录)。
- 甚至更改名称,以摆脱现有的负面印象。
评论