Microsoftが先日発表した「Copilot+ PC」では、簡単に過去の作業に戻ることができるWindows 11の新機能「Recall」を利用することができます。
Windows 11のRecallは、5秒ごとにスクリーンショットを撮影し、デバイスに保存することから、セキュリティ上の問題が発生することが懸念されていますが、セキュリティ研究者Alex Hagenah氏は、Recallによって保存されたデータが、簡単に取り出すことができることを実証したツール「TotalRecall」を公開しています。
TotalRecallは「Windows 11のRecall機能からデータを抽出して表示し、PCのアクティビティ・スナップショットに関する情報にアクセスする簡単な方法を提供する」ツールです。Recallが悪意のハッカーに悪用される可能性があることを警告するために作成されたデモツールだと説明されています。
同氏によると、Recallは、暗号化されていないSQLiteデータベースに情報を保存していて、スクリーンショットは単にPC上のフォルダに保存されているそうです。
データベースの場所:
C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID}
画像は以下のサブフォルダに保存されます:
.\ImageStore\
ukg.dbというデータベースは比較的単純な構造であるものの、多くの情報を保持しているとのこと。
データを抽出する日付範囲を指定し、例えば、特定の1週間または1日を指定して情報を引き出すことができます。SQLiteデータベースから、1日分のスクリーンショットを取り出すのにかかった時間は、せいぜい2秒だったそうです。
Microsoftはデータベースは暗号化されていると安全性を主張していましたが、PCにログインしRecallを実行すると暗号は解除されるため、暗号化は、PCが物理的に盗まれた場合にのみ役立つものだと説明されています。
TotalRecallの詳細や実行方法はGitHubで確認可能です。
