Windows Recall slaat gevoelige data op in onbeveiligde database
Windows Recall werd onlangs onthuld als onderdeel van Microsofts Copilot+-programma. Het is een AI-functie die alles wat je op je scherm doet vastlegt, waardoor er een soort tijdlijn ontstaat. De gemaakte screenshots worden door een AI in de cloud geanalyseerd en komen vervolgens als doorzoekbare acties in een tijdlijn op Windows terecht. Handig, maar niet zonder risico’s. Alle data op je scherm worden immers door het AI-systeem vastgelegd.
Microsoft stelde gebruikers gerust tijdens de onthulling. De AI “slaat alle gegevens beveiligd op”, klonk het vorige week. Zelfs bij malware-aanvallen zouden de gegevens dus niet zomaar toegankelijk zijn. Maar dat klopt niet helemaal, meldt beveiligingsonderzoeker Kevin Beaumont via X.
Gevoelige data in platte tekst
Volgens Beaumont slaat de Recall-functie alle vastgelegde acties in platte tekst op in een reguliere SQL-database. Deze database is toegankelijk voor iedereen die is ingelogd als administrator. En dat zijn veel mensen: tenzij je een los profiel hebt aangemaakt, heeft je account standaard administratorrechten. Met die rechten heb je ook toegang tot de AppData-map, waar Microsoft de database opslaat.
Gevaar voor InfoStealer-malware
Beaumont waarschuwt dat Recall het voor InfoStealer-malware erg gemakkelijk maakt om gebruikersdata te stelen. “Bedreigingsactoren kunnen binnen enkele seconden alles wat je ooit hebt bekeken automatisch schrapen”, aldus de onderzoeker. De database bevat mogelijk wachtwoorden en andere gevoelige informatie, aangezien Microsoft geen contentmoderatie toepast. DRM-beschermde content wordt weliswaar niet opgeslagen.
Microsoft benadrukt dat Recall een optionele functie is. Gebruikers kunnen de AI-tijdlijn dus volledig uitschakelen of beperkingen instellen voor bepaalde apps of websites. Incognito-vensters in browsers als Chrome en Edge worden ook niet meegenomen.
Onvoldoende beveiliging
Toch is de beveiliging onvoldoende, zo blijkt. Microsoft zegt alle data versleuteld op te slaan, maar de database wordt ontgrendeld wanneer je inlogt. De encryptie is dus alleen nuttig als je pc uitstaat, niet als malware op je pc staat.
Beaumont hoopt dat Microsoft het probleem oplost voor 18 juni, de officiële onthullingsdatum van de Copilot+-pc’s met Recall. Tot die tijd zal hij geen details delen over het ‘misbruiken’ van de databases.