Phi Vũ
New member
Tính năng Windows Recall trên Windows 11, vốn giúp lưu lại lịch sử hoạt động trên máy, đang bị đặt dấu hỏi sau proof‑of‑concept TotalRecall Reloaded. Công cụ này cho thấy dữ liệu Recall có thể bị truy xuất sau khi người dùng đăng nhập bằng Windows Hello thông qua tiến trình AIXHost.exe.
Windows Recall là tính năng trên Windows 11 giúp ghi lại một bản ghi hình ảnh của hoạt động trên máy — bao gồm ứng dụng, trang web, tin nhắn và các nội dung hiển thị khác — nhằm giúp người dùng tìm lại lịch sử trực quan của phiên làm việc.
Sau làn sóng phản ứng năm ngoái, Microsoft đã chuyển Recall sang chế độ bật theo lựa chọn (opt‑in), thêm mã hóa và yêu cầu xác thực bằng Windows Hello để mở khóa dữ liệu. Tuy nhiên proof‑of‑concept mới mang tên TotalRecall Reloaded chỉ ra điểm yếu không nằm ở cơ sở dữ liệu, mà ở giai đoạn sau khi dịch vụ được mở khóa.
Báo cáo cho biết TotalRecall Reloaded có thể tiêm mã vào tiến trình AIXHost.exe mà không cần quyền quản trị, chờ phiên người dùng mở và sau đó can thiệp vào luồng dữ liệu. Khi đó hệ thống bắt đầu gửi ảnh chụp màn hình, đoạn văn bản trích xuất và metadata đến tiến trình trên, và kẻ tấn công có thể lợi dụng bước này để thu thập thông tin.
Một số hành động, theo PoC, thậm chí có thể xảy ra mà không cần xác thực lại bằng Windows Hello, như kéo ảnh chụp màn hình mới nhất, thu thập metadata chọn lọc hoặc xóa toàn bộ kho lưu trữ đã ghi.
Microsoft nói với Ars Technica rằng hành vi được trình diễn phù hợp với cơ chế bảo vệ hiện có và không cấu thành lỗ hổng vượt rào bảo mật hay truy cập trái phép. Công ty nhận được báo cáo vào ngày 6/3 và phân loại là không phải lỗ hổng vào ngày 3/4.
Dù vậy, phản hồi của Microsoft khó khiến mọi người yên tâm: bất kỳ ai có thể truy cập máy của bạn và dùng mã PIN dự phòng cho Windows Hello vẫn có thể tiếp cận kho lưu trữ chi tiết gồm email, lịch sử duyệt web, tin nhắn và các dấu vết cá nhân khác.
Nhiều ứng dụng đã hành động phòng ngừa: Signal, Brave và AdGuard đều đã thiết lập để nội dung của họ mặc định không bị ghi bởi Recall, cho thấy mối lo ngại không chỉ đến từ cộng đồng nghiên cứu bảo mật.
Lời khuyên cho người dùng Windows 11: nếu bạn không cần Windows Recall thì tắt nó đi để an toàn hơn. Nếu bạn muốn tiện lợi từ tính năng này, hãy coi nó là một tiện ích có đánh đổi về quyền riêng tư — theo dõi các ứng dụng có thể chọn không cho ghi và cân nhắc bảo vệ vật lý máy tính và mã PIN dự phòng của bạn.
Nguồn: Digitaltrends
Windows Recall là tính năng trên Windows 11 giúp ghi lại một bản ghi hình ảnh của hoạt động trên máy — bao gồm ứng dụng, trang web, tin nhắn và các nội dung hiển thị khác — nhằm giúp người dùng tìm lại lịch sử trực quan của phiên làm việc.
Sau làn sóng phản ứng năm ngoái, Microsoft đã chuyển Recall sang chế độ bật theo lựa chọn (opt‑in), thêm mã hóa và yêu cầu xác thực bằng Windows Hello để mở khóa dữ liệu. Tuy nhiên proof‑of‑concept mới mang tên TotalRecall Reloaded chỉ ra điểm yếu không nằm ở cơ sở dữ liệu, mà ở giai đoạn sau khi dịch vụ được mở khóa.
Báo cáo cho biết TotalRecall Reloaded có thể tiêm mã vào tiến trình AIXHost.exe mà không cần quyền quản trị, chờ phiên người dùng mở và sau đó can thiệp vào luồng dữ liệu. Khi đó hệ thống bắt đầu gửi ảnh chụp màn hình, đoạn văn bản trích xuất và metadata đến tiến trình trên, và kẻ tấn công có thể lợi dụng bước này để thu thập thông tin.
Một số hành động, theo PoC, thậm chí có thể xảy ra mà không cần xác thực lại bằng Windows Hello, như kéo ảnh chụp màn hình mới nhất, thu thập metadata chọn lọc hoặc xóa toàn bộ kho lưu trữ đã ghi.
Microsoft nói với Ars Technica rằng hành vi được trình diễn phù hợp với cơ chế bảo vệ hiện có và không cấu thành lỗ hổng vượt rào bảo mật hay truy cập trái phép. Công ty nhận được báo cáo vào ngày 6/3 và phân loại là không phải lỗ hổng vào ngày 3/4.
Dù vậy, phản hồi của Microsoft khó khiến mọi người yên tâm: bất kỳ ai có thể truy cập máy của bạn và dùng mã PIN dự phòng cho Windows Hello vẫn có thể tiếp cận kho lưu trữ chi tiết gồm email, lịch sử duyệt web, tin nhắn và các dấu vết cá nhân khác.
Nhiều ứng dụng đã hành động phòng ngừa: Signal, Brave và AdGuard đều đã thiết lập để nội dung của họ mặc định không bị ghi bởi Recall, cho thấy mối lo ngại không chỉ đến từ cộng đồng nghiên cứu bảo mật.
Lời khuyên cho người dùng Windows 11: nếu bạn không cần Windows Recall thì tắt nó đi để an toàn hơn. Nếu bạn muốn tiện lợi từ tính năng này, hãy coi nó là một tiện ích có đánh đổi về quyền riêng tư — theo dõi các ứng dụng có thể chọn không cho ghi và cân nhắc bảo vệ vật lý máy tính và mã PIN dự phòng của bạn.
Nguồn: Digitaltrends
Bài viết liên quan
