Fácil de vulnerar
Pesadilla de seguridad de Windows Recall: Hacker ético expone datos sin cifrar
Alex Hagenah enfatiza que TotalRecall expone el potencial de abuso e insta a Microsoft a abordar estos problemas antes del lanzamiento oficial de Recall el 18 de junio
La nueva herramienta de inteligencia artificial Windows Recall de Microsoft, diseñada para ayudar a los usuarios a buscar en su navegación y actividad del portátil, ha sido criticada por sus vulnerabilidades de seguridad. Si bien Microsoft afirma que los datos permanecen en el dispositivo, los investigadores de seguridad advierten que los atacantes podrían acceder a ellos fácilmente.
El hacker ético Alex Hagenah ha lanzado una herramienta de demostración llamada TotalRecall, que destaca las debilidades en la seguridad de Recall. TotalRecall extrae y muestra automáticamente todo lo que Recall registra en una computadora portátil con Windows.
Recall captura capturas de pantalla cada cinco segundos y las almacena en una base de datos sin cifrar. Estos datos, según Hagenah, son como una mina de oro para actores maliciosos. Incluye capturas de pantalla de todo su escritorio, mensajes enviados en aplicaciones cifradas como Signal y WhatsApp, historial de navegación y todo el texto mostrado en su PC.
Microsoft presentó Recall en mayo, promocionándolo como una forma de "recuperar" información olvidada mediante búsquedas en lenguaje natural. Sin embargo, los expertos en seguridad han expresado su preocupación, comparándolo con software espía o stalkerware debido a sus prácticas intrusivas de recopilación de datos.
TotalRecall no solo puede extraer todos los datos capturados, sino que también puede filtrarlos según fechas específicas. Por ejemplo, según Hagenah, extraer el valor de un día de datos de la base de datos SQLite utilizada por Recall solo lleva unos segundos.
Las posibles consecuencias son graves. Los abusadores con acceso físico al dispositivo de una víctima podrían explotar los datos de Recall. Las aplicaciones de mensajería cifrada ofrecen poca protección, ya que las capturas de pantalla capturan el contenido independientemente de las funciones de "mensajes desaparecidos".
Microsoft aún no ha abordado estas preocupaciones de seguridad. Con la fecha de lanzamiento acercándose, la pregunta sigue siendo: ¿Microsoft actuará para asegurar Recall antes de que se convierta en una pesadilla de privacidad para los usuarios?
Fuente: Wired
Suscríbete a nuestro Newsletter
Recibe nuestro Newsletter diariamente registrándote con tu email y mantente informado con las noticias más relevantes del día.
También te puede interesar
Mas articulos
Más leídas - TECNOLOGÍA