Microsofts KI-Assistent Recall ist ein Sicherheitsrisiko
Recall, die neue KI-Gedächtnisstütze auf Microsofts neuen Copilot+-PCs, ist nicht nur praktisch, sondern offenbar auch ein Sicherheitsrisiko.
(Bild: Microsoft)
- Kathrin Stoll
Seit der Ankündigung auf der diesjährigen Microsoft Build sorgt eine Funktion namens Recall für Aufsehen. Doch das Feature stellt offenbar ein Sicherheitsrisiko dar.
Recall macht alle fünf Sekunden einen Screenshot des Bildschirms, sofern sich der Inhalt ändert, indiziert die Inhalte und soll Nutzern als Gedächtnisstütze dienen: Dank der KI-gestützten Text- und Bilderkennung soll sie auch zu unscharfen Suchanfragen passende Ergebnisse liefern und Nutzern so – ähnlich der macOS-Software Rewind.ai – dabei helfen, sich an Dinge zu erinnern.
Weil der zugrundeliegende Azure AI-Code auf den Geräten ausgeführt wird, funktioniert Recall lokal, läuft ohne Internetverbindung und ohne Microsoft-Konto. Solange BitLocker aktiviert oder der Nutzer mit einem Microsoft-Konto am PC angemeldet ist, wird generell das gesamte Laufwerk im Ruhezustand verschlüsselt. Das gilt auch für die Recall-Snapshots. Recall nutzt optische Zeichenerkennung (OCR), um die Informationen auf dem Bildschirm zu erfassen. Anschließend werden die Inhalte der abgebildeten Fenster zusammen mit Aufzeichnungen über die Benutzerinteraktionen in eine lokal gespeicherte SQLite-Datenbank geschrieben. Die Screenshots legt Recall nach Anwendung sortiert ab. Auf einem PC mit 256 GByte Speicherplatz ist laut Ars Technica Platz für eine derartige Dokumentation der PC-Nutzung über ganze drei Monate.
Funktion in mehrerlei Hinsicht problematisch
Problematisch daran ist zum einen, dass Recall standardmäßig auf den Geräten aktiviert ist und alle Aktivitäten dokumentiert, auch solche, die man explizit nicht oder nicht mehr festgehalten wissen möchte: etwa Webseitenbesuche im Inkognito-Modus oder gelöschte Dateien. Zum anderen kann die SQLite-Datenbank offenbar jeder Nutzer mit lokalem Zugriff ohne Probleme lesen und auf ein anderes System übertragen, Systemadminrechte sind dafür laut dem Sicherheitsforscher Kevin Beaumont nicht nötig. Auch ein Schädling, der sich auf dem PC eingenistet hat, könnte die Daten problemlos abgreifen.
In einer Test-VM auf Azure, in der Windows 11 in Version 24H2 installiert war, konnten wir Recall mithilfe der auf GitHub angebotenen Software "AmperageKit" aktivieren. Dazu war ein umfangreicher, zäher Download von archive.org nötig, der vor dem Start von AmperageKit im gleichen Verzeichnis zu entpacken ist. Nach dem erfolgreichen Durchlauf mussten wir neu starten und Recall in den Einstellungen aktivieren.
(Bild: Screenshot / heise online)
Im Unterordner AppData\Local\CoreAIPlatform.00\UKP\ des Benutzerprofils befindet sich tatsächlich eine SQLite3-Datenbank. Unterhalb des Verzeichnisses findet man die automatisiert erstellten Screenshots im JPEG-Format. Sie lassen sich problemlos mit dem Browser oder einem Bildbearbeitungsprogramm öffnen und die Datei lässt sich mit herkömmlichen SQLlite3-Werkzeugen bearbeiten. Bestimmte Webseiten und Apps kann man in den Einstellungen manuell von der Recall-Dokumentation ausschließen.
(Bild: Screenshot / heise online)
Theoretisch ist es auf diese Weise möglich, Recall zu nutzen, ohne zu sensible Daten in der Datenbank zu speichern. Praktisch ändern viele Nutzer die Standardeinstellungen ihrer PCs nie. Laut Ars Technica zögert Beaumont derzeit mit der Veröffentlichung weiterer Details, um Microsoft Zeit zum Nachbessern zu geben – es gibt mit TotalRecall aber bereits ein Skript, das zeigt, wie einfach die Recall-Aufzeichnungen gestohlen und durchsucht werden können. Das Risiko scheint derzeit um ein Vielfaches höher als der potenzielle Nutzen.
(kst)
