ComputerBase Hauptmenü
Aktuelles

News KI-Suche: Sicherheitslücke in Recall ermöglicht Datenabfluss

welch zufällige "Sicherheitslücke" da doch existiert :freak:
 
  • Gefällt mir
Reaktionen: Dimitri Kostrov, Der Puritaner, bobitsch und 3 andere
@LuxSkywalker
1776349994505.png
 
  • Gefällt mir
Reaktionen: Zagrthos, Haldi, Dimitri Kostrov und 5 andere
Das hätte ich niemals erwartet… 🙃
 
  • Gefällt mir
Reaktionen: dasBaum_CH, Haldi, Restart001 und 7 andere
Naja wenn MS ab ablehnt... ich kann auch an nem Debian Rechner relativ einfach das root Passwort zurücksetzen... gibt halt Designentscheidungen. Die mögen bescheuert sein, ob man es dann aber als Sichehreitslücke klassifiziert?
 
Bin da nicht so drin im Thema, ist das jetzt bei jedem Windows 11 (25H2) aktiv oder nur wenn man es selbst aktiviert hat oder nur bei Copilot+ PCs? Wenn ich in den Einstellungen unter Datenschutz schaue oder nach Recall suche, findet er gar nix, obwohl KI und MS selbst auf der Infoseite sagen, da wäre was einzustellen. Hmm
 
@Superior1337

Recall ist nur auf neueren PCs mit einer NPU möglich und muss mit Windows Hello aktiviert werden.
Einstellungen => Datenschutz und Sicherheit => Recall und Momentaufnahmen

Die Rückmeldung von Microsoft, dass jegliche Malware auch andere Elemente mitschneiden könnte, wie Passwortcontainer, ist eine schlechte Ausrede.

Um Daten von 1Password oder anderen Passwortmanagern abzugreifen, muss die Malware spezifisch angepasst sein. Recall macht es den Angreifern leicht, da es auf neueren PCs generell vorinstalliert ist und sich am selben Dateipfad befindet. Der Nutzer muss nur Recall aktiv nutzen und einmal per Windows Hello öffnen, damit der Datenabfluss starten kann.
 
  • Gefällt mir
Reaktionen: the_IT_Guy und homunkulus
Wozu veröffentlicht man so ein Tool(total Recall reloaded)? Damit es andere weiter verbessern?
 
Northstar2710 schrieb:
Wozu veröffentlicht man so ein Tool?
Zum Vergrößern anklicken....
Damit MS es nicht weiter bestreiten kann, sondern zur Handlung gezwungen wird wäre ein naheliegender Grund.
 
  • Gefällt mir
Reaktionen: Grias Enk, the_IT_Guy, Tzk und 3 andere
Man kann es ja Microsoft zur Verfügung stellen, aber müssen solche Programme für alle benutzbar sein so das es noch weiter entwickelt werden kann.
 
zum glück ist das eh in deutschland nicht erlaubt soweit ich weiß. mein system hat es nicht und alles gut.
 
@Northstar2710
Derjenige, der diese Schwachstelle identifiziert hat, hat Microsoft ja darüber informiert. Man informiert die Betroffenen und gibt ihnen eine angemessen kurze Zeit um zu reagieren und ihren Fehler zu korrigieren. Können (oder wollen) sie das nicht, veröffentlicht man nach Ablauf der Frist seine Erkenntnisse. Dann wird der Schaden für Microsoft halt größer, aber das haben sie sich selbst zuzuschreiben. Sei es durch Inkompetenz oder Sturheit, das spielt ja keine Rolle. Eine existierende Schwachstelle zu verschweigen ist keine Option und hilft auch niemandem. Die könnte ja auch unabhängig davon von jemand anderem gefunden werden, der sie für sich behält und ausnutzt.
 
  • Gefällt mir
Reaktionen: Melvyn, Haldi, the_IT_Guy und 2 andere
Soso, kein gültiger Bug.
 

Anhänge

  • screenshot_20241007_074402_linkedin.png
    screenshot_20241007_074402_linkedin.png
    1.008,3 KB · Aufrufe: 148
  • Gefällt mir
Reaktionen: 7H0M45, Melvyn, Haldi und 6 andere
Der Konzern habe den Vorgang mit dem Verweis geschlossen, es handele sich um keine Schwachstelle.
Zum Vergrößern anklicken....

Also genau das Verhalten, welches man von Microslop gewohnt ist - selbst dann noch abstreiten, wenn es gar nicht mehr abzustreiten ist. Genau das gleiche Spiel wie z.b. beim Azure-Masterkey-GAU. Es hat sich also nicht das Geringste geändert und - wie nicht anders zu erwarten - war "Sicherheit ist jetzt unsere oberste Priorität" nichts anderes als inhaltsleeres und wertloses Marketinggesabbel... :freak:
 
  • Gefällt mir
Reaktionen: Haldi
Windows liefert out-of-the-box das Werkzeug um den Tresor zu knacken. Als User keine Chance zu erkennen.
 
  • Gefällt mir
Reaktionen: the_IT_Guy
@Termy
Vielleicht ist es die Wahrheit, dass es keine Schwachstelle ist.
Eine (Hinter-)Tür ist ja auch keine Schwachstelle sondern eine Notwendigkeit oder Absicht.

Zwei KI-Zusammenfassungen mit Quellen:
Absichtlich eingebaute Hintertüren in Verschlüsselungsalgorithmen wurden von Herstellern oder Standardisierungsgremien eingeführt, um Behörden und Geheimdiensten einen „rechtmäßigen Zugang" zu ermöglichen. Ein bekanntes Beispiel ist der TETRA-Funkstandard, bei dem der Algorithmus TEA1 eine absichtlich geschwächte Exportvariante mit nur 32-Bit-Schlüsseln aufweist, die in Minuten zu knacken ist, während die Version TEA2 für Polizei und Militär in Europa als sicherer gilt.
https://www.heise.de/news/Digitaler...chwachstellen-bei-TETRA-entdeckt-9226620.html
https://www.scinexx.de/news/technik/geheime-hintertuer-in-der-handy-verschluesselung/
Zum Vergrößern anklicken....

Auch bei der Handy-Verschlüsselung wurden Schwachstellen identifiziert: Der GEA-1-Algorithmus für 2G-Netze enthält eine massive Hintertür, die absichtlich eingebaut wurde, um Datenabhörbarkeit zu garantieren.
https://casa.rub.de/news/casa/sicherheit-mit-sollbruchstelle
https://news.rub.de/wissenschaft/2023-01-18-kryptografie-sicherheit-mit-sollbruchstelle
Zum Vergrößern anklicken....

Und ganz ehrlich.
Mit logischem Menschenverstand sollte es doch für alle offensichtlich sein, dass alle IT-Unternehmen (besonders aus den USA) Hintertüren einbauen. Entweder weil sie gesetzlich dazu verpflichtet werden oder weil sie dadurch in irgend einer Weise profitieren.

Und weil Hintertüren / Schwachstellen / Bugs nicht lange geheim bleiben, werden sie eben geschlossen und neue geöffnet, die man eine Zeit lang ausnutzen kann.
Und wenn man eine gute Sicherheit geschaffen hat, kann man sie ja alle paar Monate oder Jahre "kurz" aushebeln, die notwendigen Daten extrahieren und dann wieder schließen. So etwas könnte ich mir sehr gut bei Account-Daten bzw. Passwörtern vorstellen. Da genügt es nur ein mal pro Jahr mit einem Update eine Schwachstelle einzufügen, die beliebtesten ~1000 Passwörter auszulesen und dann wieder zu schließen.
So könnte man die eigene Brute-Force-Software anpassen, dass diese zuerst die aktuell beliebtesten ~1000 Passwörter testet, bevor sie mit dem Alphabet beginnt, etc.

Betriebssystem von A, Software von A, Passwortmanager von A, Verschlüsselung von A, ... noch komfortabler könnte man es "A" und allen Beteiligten nicht machen.

Das hat mit Sicherheit nichts mit Aluhut oder Verschwörungstheorien zu tun, wenn man mal ganz ehrlich ist und sich in die Lage der Geheimdienste, Staaten, Diktatoren, Tech-Unternehmen, etc. versetzt.
Ein "berechtigtes Interesse", gesetzlicher Zwang oder Geld an die richtigen Personen genügt.
 
  • Gefällt mir
Reaktionen: Hovac
Na ja, die Frage ist halt schon, wo genau die Sicherheitsgrenze überschritten worden ist.

Der "Bug" 1.) braucht ein Programm, dass mit den Rechten des aktuellen Nutzers läuft, es braucht 2.) dann eine Authentifizierung mit Windows Hello durch den Nutzer.

1.) Erlaubt aber einem schon einfach so zu tun, als sei man Recall und lässt den Nutzer einmal das Passwort eingeben um z.B. Admin zu werden. Dafür brauch mam aber Recall gar nicht zu installieren, sondern dann hat.mam einfach den Nutzer ausgetrickst.

2.) wäre dann interessant, wenn man einen anderen Authentifizierungsdialog erhält als man mit "Boardmitteln" hinbekommen kann (Beispiel wäre, dass es wie die Elevation aussieht von einem signierten Programm, man aber keine Signatur braucht). Dafür hab ich aber zu wenig Ahnung, wie die Recall Auth wirklich aussieht.

Wenn jemand beliebigen Code auch mit reinen User-Rechten ausführt, dann kann der Code Sachen machen, die er auch so mit reinen User-Rechten machen kann.
 
Das ist typisch Microsoft. Winring0 und andere unsignierte Treiber die sich der Nutzer bewusst runter lädt sind böse, dafür stellt Microsoft selbst ein integriertes OS Tool vor, was bei jedem Hackerauge Saurons die größten Seelenbegehrlichkeiten auslöst. Microsoft sollte sich übrigens auch in ein LoTR Unternehmen umbennen. Lidless Eye oder Great Eye Software sind sicher noch zu haben. Barad Dur ist leider schon vergeben. Ered Lithui wäre übrigens für Microsoft als Aschegebirge selbst passend.

Als Microsoft die Entscheidung traf den Editor mit Bildfunktion auszustatten, hat Micrsooft jeglichen Kontrolle über Programmfunktionen verloren. Da ist mir Notepad++ 100% vertrauenswürdiger.
 
Khorneflakes schrieb:
Können (oder wollen) sie das nicht, veröffentlicht man nach Ablauf der Frist seine Erkenntnisse. Dann wird der Schaden für Microsoft halt größer, aber das haben sie sich selbst zuzuschreiben.
Zum Vergrößern anklicken....
Das ist schon klar. Aber warum muss man das Tool veröffentlichen und zum freien Download anbieten womit man diese Sicherheitslücke ausnutzen kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz