Windows 11 için geliştirilen Recall özelliği, 2024’te Copilot+ bilgisayarlarla birlikte çıktı. Ama kullanıcılar baştan beri temkinli yaklaştı. Kısa süre sonra güvenlik araştırmacıları, bu sistemde tutulan verilerin kolayca alınabildiğini gösterdi.
Bu durum, Microsoft için ciddi bir krize dönüştü. Şirket özelliği geri çekti ve aylar sonra yeni güvenlik önlemleriyle tekrar sundu. Ama görünen o ki sorunlar bitmedi.
TotalRecall aracı açığı gözler önüne serdi
Güncellenen “TotalRecall” adlı araç, Recall’un hâlâ risk taşıdığını ortaya koydu. Aracı geliştiren Alexander Hagenah, sistemi GitHub’da paylaştı.
Hagenah’a göre Recall’un veri kasası sağlam. Ama verilerin sistem içinde işlenme şekli zayıf. Yani sorun depolamada değil, erişim tarafında.
Sorunun kaynağı: AIXHost.exe
Yeni sürüm, Windows’taki AIXHost.exe sürecini kullanarak tüm ekran görüntülerine erişebiliyor. Bu süreç, Recall zaman çizelgesini gösteren yapı.
Ama kritik bir eksik var: Bu süreçte güçlü güvenlik katmanları yok. Bu yüzden kullanıcı giriş yaptıktan sonra sisteme dışarıdan kod eklemek ve veri çekmek mümkün hale geliyor.
Sistem arka planda sessizce çalışıyor
Yöntem basit:
-
Kullanıcı Windows Hello ile giriş yapıyor
-
Araç arka planda bekliyor
-
Girişten sonra verileri sessizce toplamaya başlıyor
Sistem bunu tehdit olarak görmüyor çünkü AIXHost.exe içindeki her şeyi “güvenilir” kabul ediyor. Yani kötü yazılım, sistemin içine sızarsa kolayca veri alabiliyor.
Daha da ilginci, araç bazı verileri Windows Hello doğrulaması olmadan da çekebiliyor.
Microsoft aynı fikirde değil
Hagenah, çözümün net olduğunu söylüyor:
Veri kasası tamam, ama veriyi taşıyan ve gösteren sistem de korunmalı.
Araştırmacı bulguları yayınlamadan önce Microsoft’a iletti. Ancak şirket bu durumu bir açık olarak görmüyor. Onlara göre bu bir güvenlik ihlali sayılmıyor.
TotalRecall’un yeni sürümü artık herkese açık. Araç GitHub üzerinden indirilebiliyor. Bu da tartışmayı yeniden alevlendirmiş durumda.