Windows Recall tartışması yeniden alevlendi. Güvenlik araştırmacısı Alexander Hagenah, geçen yılki TotalRecall aracını “TotalRecall Reloaded” adıyla güncelledi ve Microsoft’un yeniden tasarladığı Recall korumalarını aşarak kullanıcıların yerel olarak saklanan özel verilerine erişebildiğini gösterdi. Aracın, yönetici yetkisi gerektirmeden çalışabildiği ve standart kullanıcı haklarıyla ekran görüntüleri, OCR’la çıkarılan metinler ve üst verileri dışarı alabildiği belirtiliyor.
Araç Nasıl Çalışıyor?
Hagenah’ın bulgularına göre sorun, Recall verilerini şifreli biçimde saklayan VBS Enclave’inde değil. Zayıf halka, Recall arayüzünü çizen ve enclave dışındaki AIXHost.exe süreci. TotalRecall Reloaded, bu sürece DLL enjekte ederek kullanıcı Windows Hello ile oturum açtıktan sonra enclave’den ekrana aktarılan çözülmüş verileri “yolda” yakalayabiliyor. Böylece şifrelenmiş “kasayı” kırmadan, veriler arayüze taşınırken toplanabiliyor.
Hagenah, aracın arka planda sessizce çalışabildiğini; Recall arayüzünü tetikleyip Windows Hello doğrulamasından sonra veri toplamaya devam ettiğini de vurguluyor. Teknik ayrıntıların bir kısmı Microsoft’a bildirilmiş durumda ve araştırmacı, düzeltme gelene kadar detayları kamuya açmayacağını söylüyor.
Microsoft Ne Diyor?
Microsoft, Recall’un tasarımını 2024 sonbaharından itibaren ciddi biçimde elden geçirmişti: Verilerin cihazda kalması, TPM korumalı anahtarlarla şifrelenmesi ve erişimin Windows Hello ile sınırlandırılması gibi adımlar atıldı. Şirket, ayrıca Recall bileşenlerinin VBS Enclave içinde izole çalıştığını, verinin kullanıcı isteği olmadan buradan çıkamayacağını belirtiyor.
Yeni araç sonrası şirket, güvenlik açığı bulunduğu iddiasını reddediyor; zaman aşımı ve kötüye kullanım önleyici mekanizmaların riski sınırladığını savunuyor. Buna karşın araştırmacı, bu sınırlamaların pratikte aşılabildiğini ve modelin “bekleyen zararlı yazılımın kullanıcıyla birlikte içeri sızmasını” engellemediğini öne sürüyor.
Hatırlatmakta fayda var: Recall, hâlâ isteğe bağlı bir özellik ve Copilot+ PC’lerde varsayılan olarak kapalı geliyor; kullanıcı isterse devre dışı bırakabiliyor veya tamamen kaldırabiliyor.
Ekosistem tarafında da tepkiler sürüyor. Örneğin Brave tarayıcı, 2025 yazından bu yana Recall’ın tarayıcı içeriğini yakalamasını varsayılan olarak engelliyor.
Özetle Microsoft’un yeni mimarisi kâğıt üzerinde güçlü görünse de arayüz katmanındaki güvenlik sınırının “erken” bittiğini gösteren bu çalışma, Recall’un doğası gereği yüksek hassasiyet taşıyan verileri işlemesinin yarattığı riski yeniden gündeme taşıyor. Güncel durumda en güvenli yaklaşım, Recall’u gerçekten ihtiyaç duyanların dikkatle yapılandırıp kapsamını daraltması; geri kalanların ise özelliği kapalı tutması.
Kaynak: www.techspot.com