Recall speichert Daten im Klartext - Neues Windows-Feature ein Risiko?

Microsoft beteuert zwar, dass Angreifer keine Möglichkeit haben, von Außen an die mit der neuen "Recall"-Funktion von Windows 11 erfassten Nutzerdaten zu gelangen. Ein früherer Microsoft-Mitarbeiter macht jetzt aber deutlich, dass die Anfragen einfach im Klartext abgelegt werden.

Ex-Mitarbeiter warnt vor Microsofts neuem 'Killer-Feature'

Kevin Beaumont, der früher selbst als Senior Threat Intelligence Analyst für Microsofts Sicherheitsabteilung tätig war, warnt auf X/Twitter ausdrücklich vor der Verwendung von Windows Recall. Zuvor hatte Windows-Spezialist Albacore auf einem älteren ARM-basierten Notebook bei Experimenten festgestellt, dass hier eine Klartext-Datenbank erstellt wird, wie er auf seinem Mastodon-Account dokumentierte.

Mit Recall, das bei Windows 11 24H2 auf Systemen mit einer integrierten Neural Processing Unit (NPU) wie den neuen "Copilot+"-PCs nach bisherigem Kenntnisstand allerdings wohl nicht ab Werk aktiviert sein wird, werden regelmäßig automatische "Snapshots" von fast allen Eingaben und Aktivitäten des Nutzers erfasst, um sie später mithilfe einer Künstlichen Intelligenz (KI) durchsuchbar zu machen.

Einfache SQLite-Datenbank enthält alle Infos & Aktionen

Laut Beaumont und Albacore werden die von Recall erfassten Daten einfach im Klartext in einer SQLite-Datenbank abgelegt, auf die man auf dem jeweiligen Hostsystem ohne Weiteres zugreifen kann, sofern Administratorrechte vorhanden sind. Dies bedeutet zwar, dass ein Angreifer entsprechende Rechte benötigt, doch diese sind aufgrund der Einstellungen vieler Nutzer auch heute noch häufig vorhanden, wenn der Anwender den jeweiligen PC mit einem Konto mit Admin-Rechten verwendet.

Letztlich wäre es nach Meinung von Beaumont für die potenziellen Angreifer kein Problem, Recall-spezifische Malware zu kreieren, mit der die im Klartext gespeicherten Recall-Daten abgegriffen und über das Internet übertragen werden könnten. Im Grunde würden sie so Zugriff auf "alles, was der User jemals auf dem PC getan hat", erhalten können.

Auch bei Verschlüsselung wird offen gespeichert

Tatsächlich stimmt Microsofts Behauptung, dass ein Angreifer physischen Zugriff benötigen würde, um an die Recall-Daten zu gelangen, eigentlich. In einem solchen Fall hätte man ohnehin Zugriff auf die Daten des Nutzers, unabhängig davon, ob sie von Recall erfasst wurden oder nicht. Beaumont zufolge ergibt sich aber ein weiteres Problem. Weil Recall die Eingaben des Nutzers auch bei der Verwendung von Messaging-Diensten mit voll verschlüsselter Übertragung bei der Eingabe erfasst, werden auch diese unverschlüsselt im Klartext in der SQLite-Datenbank von Recall abgelegt.


Beaumont hat das Ganze bereits in Verbindung mit Messengern wie WhatsApp, Signal und Team getestet und war dabei nach eigenen Angaben in der Lage, die Nachrichten im Klartext abzugreifen. Er habe den Prozess mittlerweile bereits mit geringstem Aufwand automatisiert, wobei nur wenige Zeilen Code dafür nötig seien.

Weiterhin zeigte sich bei einer tieferen Untersuchung der Daten, dass Windows Recall hier nicht nur die Eingaben des Nutzers erfasst, sondern - wie von Microsoft offiziell dokumentiert - auch die Mehrheit aller Aktivitäten. Man kann also theoretisch sogar nachvollziehen, was der Nutzer über Monate hinweg auf dem System getan hat, wobei dies sogar so weit ins Detail geht, dass nachvollzogen werden kann, wann ein Programmfenster minimiert oder maximiert wurde.

Microsoft hat sich zu dem Thema bisher nicht offiziell geäußert. Bislang ist Recall nicht für jedermann frei verfügbar, denn die entsprechend ausgestatteten PCs sind bis jetzt nicht im Handel angekommen, sondern starten zusammen mit den neuen ARM-basierten Surface-Modellen erst ab der zweiten Juni-Hälfte. Inwiefern sich hier tatsächlich eine Angriffsfläche für Hacker ergibt, bleibt daher vorerst abzuwarten.
Siehe auch: