“TotalRecall Reloaded” tool finds a side entrance to Windows 11’s Recall database | TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
Recallのデータベース自体は暗号化されWindows Helloで保護されているが、認証後にデータがAIXHost.exeへ転送される過程にセキュリティ上の隙がある。このプロセスはデータベースと同等の保護を受けておらず、認証済みのセッションに乗じて、スクリーンショットやOCRテキストなどの機密データを窃取されるリスクが存在する。
// Approach
「TotalRecall Reloaded」は、管理者権限なしでAIXHost.exeへDLLをインジェクションする。ツールはバックグラウンドで待機し、ユーザーがWindows Helloで認証を行った瞬間に、プロセス間でやり取りされるスクリーンショット、OCR抽出テキスト、およびメタデータを傍受・抽出する手法を用いる。
// Result
Microsoftはこの挙動を「意図された動作」として脆弱性とは認めなかった。しかし、実質的なプライバシーリスクは残存しており、SignalやBraveなどのアプリは、Recallの記録対象から自社アプリを除外するための回避策を既に実装するなど、実務的な対策が進んでいる。
Senior Engineer Insight
> データの「保管(At Rest)」に対する防御は強固だが、「実行時(In Use)」におけるプロセス間通信の保護が極めて脆弱である。これは、マイクロサービスや分散システムにおける境界防御の典型的な失敗例だ。認証という単一のゲートウェイに依存しすぎ、その後のデータフローの完全性を担保できていない。「金庫は堅牢だが、配送トラックは無防備」という比喩は、現代の複雑なシステム設計における盲点を鋭く突いている。エンタープライズ環境においては、こうした「認証後のプロセス乗っ取り」を前提とした、より厳格なゼロトラストモデルの適用が不可欠である。