'TotalRecall Reloaded' 도구가 Windows 11 Recall Database에 대한 측면 입구를 찾다
Source: Slashdot
배경
2년 전, Microsoft는 Copilot+ Windows PC의 첫 번째 파도를 출시했으며, 최신 노트북 프로세서에 내장된 신경 처리 유닛(NPU) 하드웨어를 활용할 수 있는 몇 가지 독점 기능을 제공했습니다. 이러한 NPU는 클라우드가 아닌 로컬에서 실행되는 AI 및 머신러닝 기능을 가능하게 하여 이론적으로 보안 및 프라이버시를 강화할 수 있습니다.
첫 번째 Copilot+ 기능 중 하나는 Recall이었으며, 이는 사용자가 과거 활동을 기억하도록 돕기 위해 스크린샷을 통해 모든 PC 사용을 추적한다고 약속했습니다. 그러나 초기 구현에서는 Recall이 프라이버시와 보안이 전혀 보장되지 않았습니다; 이 기능은 스크린샷과 방대한 사용자 활동 데이터베이스를 사용자의 디스크에 암호화되지 않은 파일로 저장했으며, 원격 또는 로컬 접근 권한이 있는 사람이라면 며칠, 몇 주, 심지어 몇 달치 민감한 데이터를 손쉽게 가져올 수 있었습니다.
Recall의 초기 결함 및 Microsoft의 대응
언론인과 보안 연구원들이 이러한 결함을 지적한 이후, Microsoft는 Recall 배포를 거의 1년 정도 연기하고 보안을 대대적으로 개편했습니다:
- 로컬에 저장된 모든 데이터가 이제 암호화되며 Windows Hello 인증을 통해서만 볼 수 있습니다.
- 이 기능은 데이터베이스에서 민감한 정보(예: 금융 데이터)를 더 잘 감지하고 제외합니다.
- Recall은 모든 지원 PC에서 기본적으로 활성화되는 것이 아니라 기본값이 꺼져 있습니다.
재구성된 Recall이 크게 개선되었지만, PC 사용 대부분을 기록하는 기능은 여전히 보안 및 프라이버시 위험을 내포하고 있습니다.
Source: …
TotalRecall Reloaded 도구
보안 연구원 Alexander Hagenah는 원래 TotalRecall 도구를 작성했으며, 이를 통해 Windows PC에서 Recall 정보를 매우 쉽게 가져올 수 있었습니다. 업데이트된 버전인 TotalRecall Reloaded는 추가적인 취약점을 공개합니다.
Hagenah의 GitHub 페이지에서 강조한 핵심 내용:
- Recall 데이터베이스 자체에 대한 보안은 “돌같이 단단”합니다.
- 문제는 AIXHost.exe 프로세스에 있습니다. 이 프로세스는 사용자가 인증한 후 Recall 데이터를 받으며, 데이터베이스와 동일한 보안 보호를 받지 못합니다.
- TotalRecall Reloaded는 관리자 권한 없이
AIXHost.exe에 DLL을 주입하고, 사용자가 Recall을 열어 Windows Hello로 인증할 때까지 기다립니다. 인증이 이루어지면 도구는 Recall이AIXHost.exe에 보내는 스크린샷, OCR 텍스트 및 기타 메타데이터를 가로채며, Recall 세션이 종료된 후에도 계속 작동합니다.
“VBS 엔클레이브는 Windows Hello 없이는 아무것도 복호화하지 못합니다,” 라고 Hagenah는 씁니다. “도구가 이를 우회하는 것이 아니라, 사용자가 직접 수행하도록 만들고, 사용자가 할 때 조용히 따라가거나, 사용자가 할 때까지 기다립니다.”
인증 없이 가능한 기능
- 가장 최근의 Recall 스크린샷을 가져오기.
- Recall 데이터베이스에 대한 선택적 메타데이터 캡처.
- 사용자의 전체 Recall 데이터베이스 삭제.
인증 후 가능한 기능
- 새로 기록된 정보와 기존에 Recall 데이터베이스에 저장된 데이터를 모두 접근.
Microsoft’s Statement
“우리는 Alexander Hagenah가 이 문제를 식별하고 책임감 있게 보고해 준 것에 감사드립니다. 면밀한 조사 결과, 보여진 접근 패턴이 의도된 보호 및 기존 제어와 일치하며, 보안 경계 우회나 데이터에 대한 무단 접근을 나타내지 않는 것으로 판단되었습니다.” 라고 Microsoft 대변인이 Ars Technica에 말했습니다. “인증 기간에는 타임아웃 및 악의적인 쿼리의 영향을 제한하는 안티‑해머링 보호가 적용됩니다.”
- Ars Technica – TotalRecall Reloaded 도구가 Windows 11의 Recall 데이터베이스에 대한 비밀 입구를 찾다
- TotalRecall GitHub 저장소
- Microsoft, 대규모 반발 이후 Windows Recall 연기 (Slashdot)
- Microsoft, 1년 지연 후 Windows Recall 출시 (Slashdot)
- Microsoft가 사용자와의 신뢰를 잃었고 Windows Recall이 악마의 등을 무너뜨린 마지막 짚이 되었다 (Slashdot)
- Alexander Hagenah의 문제에 관한 LinkedIn 게시물