正文
如果你在电脑上登录了微软
账户
,则通常默认启用该技术;
此外,
在具有 256GB 存储空间的 PC 上,Recall 可以在三个月的 PC 使用过程中存储几十个 GB 的数据。
相比 Recall 带来的便利性功能,更多的人指出,“这听起来就像是一场潜在的安全噩梦”,特别是当有安全研究人员“拆穿”微软的安全公告时。
2、被安全研究人员不断「拆台」的微软
为了严谨也为了拿出实证,不少安全研究人员开始“出动”,从“自制可以运行 Recall 的环境”到“探索 Recall 功能收集到的数据”再到“实测 Recall”,全流程可谓是齐全。
其一:制作可以运行 Recall 的环境
由于并不是所有设备都支持 Recall 功能,所以有开发者 Albacore 想了个办法:开发一款名为 AmperageKit
(https://github.com/thebookisclosed/AmperageKit)
的开源工具,这款工具可在运行 Windows 11 24H2 build 26100.712
(该版本目前在 Windows Insider Release Preview 频道中提供)
的基于 Arm 的 Windows PC 上启用 Recall 功能。
只限于这一版本的系统,因为其他 Windows 11 24H2 版本缺少启用 Recall 所需的底层代码。
其二:查询 Recall 功能截取快照中的信息
另外一位网络安全人员 Alexander Hagenah 更是直接简单明了地开源了一个名为 TotalRecall(https://github.com/xaitax/TotalRecall)工具,表示这款工具从 Windows 11 中的 Recall 功能中提取并显示数据,提供一种非常简单的方式来访问 PC 活动快照信息。
Alexander Hagenah 分享道,Windows Recall 将所有内容存储在未加密的 SQLite 数据库中,而屏幕截图则保存在 PC 上的文件夹中。你可以在这里找到它们:
C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID}
所有图像均存储在以下子文件夹中:
这个 SQLite 数据库的 ukg.db 结构相对简单,但却蕴含着丰富的信息:
通过 TotalRecall,它会复制数据库和屏幕截图,然后解析数据库以查找你可能想要的内容。你还可以定义日期来限制提取,以及搜索感兴趣的字符串(通过 Recall OCR 提取)。
「这一切背后没有什么深奥的科学。这是非常基本的 SQLite 解析」,Alexander Hagenah 说。
