Создан PoC-автомат для кражи информации, собранной Windows Recall
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Создан PoC-автомат для кражи информации, собранной Windows Recall

Татьяна Никитина 06 Июня 2024 - 09:38
...
Создан PoC-автомат для кражи информации, собранной Windows Recall

В паблик выложен код TotalRecall — инструмента, позволяющего автоматизировать кражу конфиденциальных данных из баз Recall. Запуск хайпового ИИ-помощника запланирован на 18 июня, и автор PoC хотел показать, насколько новая фича Windows ненадежна.

О появлении ИИ-функции в Windows 11 стало известно две недели назад: Microsoft анонсировала выпуск новой линейки компьютеров, Copilot+, и рассказала о нововведениях. Функция Recall вызвала бурную дискуссию — и специалисты по ИБ, и простые поклонники приватности заподозрили, что она небезопасна.

Новый механизм призван ускорить поиск нужной информации на компьютере. Каждые пару секунд он делает снимок экрана, фиксируя также действия юзера (например, уменьшение размера окна), шифрует и сохраняет локально. Параллельно Recall вычленяет все возможные ключи путем оптического распознавания и помещает их в базу SQLite в папке текущего пользователя.

Как оказалось, данные в этот файл записываются в открытом виде. Доступ к нему не требует привилегий уровня SYSTEM, а для просмотра даже не нужно админ-прав. С учетом того, что Recall будет включена по дефолту, ознакомиться с содержимым сможет любой другой пользователь.

Потестировав ИИ-функцию, известный эксперт Кевин Бомон (Kevin Beaumont) обнаружил, что собранную ею информацию можно вывести с помощью инфостилера. На его машине был установлен Microsoft Defender for Endpoint, который отреагировал на коммерческого вредоноса, но слишком поздно: за 10 минут тот успел украсть целевые данные.

Устойчивость новинки к злоупотреблениям проверил также специалист по offensive security Александер Хагенах (Alexander Hagenah). Его эксперимент подтвердил возможность автоматизации кражи данных, и исследователь решил опубликовать свой PoC-код, чтобы предупредить всех об угрозе.

Созданный им инструмент отыскивает базу данных Recall, копирует скриншоты и записи SQLite в свою папку, парсингом находит артефакты, заданные через ввод (пароли, реквизиты банковских карт и т. п.), и выдает короткий отчет:

 

В ответ на вопрос Help Net Security Хагенах заявил, что вносить изменения в код TotalRecall он не планирует.

«PoC останется как есть. Мне просто безумно интересно, чем ответит Microsoft перед запуском Recall».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

По России массово распространяется мошенничество с утильсбором
Яков Шпунт 03 Октября 2025 - 09:50
МошенничествоДипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи
По России массово распространяется мошенничество с утильсбором

Злоумышленники начали активно использовать тему повышения утилизационного сбора на автомобили. Для обмана они создают фиктивные посреднические компании, предлагающие машины с заниженным утильсбором и обещающие ускоренное оформление сделки.

О распространении этой схемы сообщило РИА Новости со ссылкой на платформу «Мошеловка». Реклама подобных «компаний» распространяется в телеграм-каналах и социальных сетях.

Взаимодействие с ними ведётся через видеосвязь. При этом активно применяются дипфейки: и «сотрудники», и демонстрируемые автомобили сгенерированы нейросетями. Машины предлагаются по привлекательным ценам, а продавцы обещают быстрое оформление покупки.

Однако перед заключением сделки злоумышленники требуют значительную частичную предоплату. Никаких официальных документов при этом не оформляется. После получения денег связь с «продавцами» обрывается.

Аналогичные схемы мошенники используют и в других случаях, играя на ажиотажных темах. Так, при выходе новых устройств Apple чаще всего требуют оплату доставки, а при продаже «горящих туров» схема с предоплатой применяется особенно широко.

«Мошеловка» напоминает: тревожным сигналом является отказ от личной встречи и требование предоплаты без оформления документов. Перед тем как выходить на связь с подобной компанией, рекомендуется проверить её данные через официальные ресурсы ФНС. Если организация создана недавно, велика вероятность, что она фиктивная.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Kaspersky протянула руку помощи колледжам в подготовке специалистов по ИБ
Новость
Kaspersky протянула руку помощи колледжам в подготовке специ...
Атак на память стало на 47% больше: в фокусе уязвимости браузеров
Новость
Атак на память стало на 47% больше: в фокусе уязвимости брау...
Уязвимости в чипах Broadcom угрожают миллионам ноутбуков Dell
Новость
Уязвимости в чипах Broadcom угрожают миллионам ноутбуков Del...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.