Som Hagenah beskriver på TotalRecall GitHub-sidan, är problemet inte med säkerheten kring Recall-databasen, som han kallar ”rock-solid.” Problemet är att när användaren har autentiserats skickar systemet Recall-data till en annan systemprocess som heter AIXHost.exe, och den processen drar inte nytta av samma säkerhetsskydd som resten av Recall.
”Valvet är starkt”, skrev Hagena. ”Leveransbilar är olika.”
Verktyget TotalRecall Reloaded använder en körbar fil för att injicera DLL-filer i AIXHost.exe. Detta kan göras utan administratörsbehörighet. Den väntar sedan i bakgrunden tills användaren öppnar Recall och autentiserar med Windows Hello. När detta är gjort kommer verktyget att kunna fånga upp skärmdumpar, OCRed text och annan metadata som Recall skickar till AIXHost.exe-processen, även efter att användaren stänger Recall-sessionen.
”VBS-enklaver kan inte dekryptera någonting utan Windows Hello”, skrev Hagenah. ”Det här verktyget kringgår det inte, det tvingar antingen användaren att göra det, det lyder tyst när användaren gör det, eller så väntar det på att användaren ska göra det.”
Flera uppgifter, som att ta den senaste Recall-skärmdumpen, fånga vald metadata om Recall-databasen och ta bort hela Recall-databasen för en användare, kan utföras utan Windows Hello-autentisering.
Hagenah sa att när det har autentiserats kan TotalRecall Reloaded-verktyget komma åt både ny information som registrerats i Recall-databasen såväl som data som tidigare registrerats av Recall.
Bugg eller inte, återkallelser är fortfarande farliga
Microsoft sa att Hagenahs fynd egentligen inte är en bugg och att det inte finns några planer på att fixa det. Hagenah rapporterade ursprungligen sina upptäckter till Microsofts Security Response Center den 6 mars, och Microsoft klassade det officiellt som ”inte en sårbarhet” den 3 april.
