Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Totalrecall Reloaded: Tool zeigt Schwachstelle in Windows Recall

Eine neue Version des Tools Totalrecall zeigt, wie sich Daten aus Windows Recall immer noch vergleichsweise leicht abgreifen lassen.
/ Mike Faust
3 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Totalrecall Reloaded schleust eine DLL-Datei in einen Systemprozess ein. (Bild: Alexander Hagenah)
Totalrecall Reloaded schleust eine DLL-Datei in einen Systemprozess ein. Bild: Alexander Hagenah

Der Sicherheitsforscher Alexander Hagenah hat eine neue Version seines Tools Totalrecall veröffentlicht. Auf der Github-Seite des Tools(öffnet im neuen Fenster) schreibt Hagenah, dass sich damit auch in der aktualisierten Version der Recall-Funktion von Windows 11 Schwachstellen aufzeigen lassen.

Diese sollen allerdings nicht an der Sicherheit der Recall-Datenbank selbst liegen, die er als absolut sicher bezeichnet. Das Problem sei ein Systemprozess namens AIXHost.exe, an den Recall Daten nach der Benutzerauthentifizierung übergibt.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Totalrecall Reloaded nutzt die Möglichkeit, dass es ohne Administratorrechte möglich ist, eine DLL-Datei in den Systemprozess einzuschleusen. Anschließend wartet das Tool im Hintergrund, bis sich der Nutzer per Windows Hello identifiziert. Im Anschluss daran kann Totalrecall Reloaded Screenshots, per OCR erfassten Text und andere Metadaten abfangen, die Recall an den AIXHost.exe-Prozess sendet.

Microsoft sieht keine Sicherheitslücke

Das Tool könne ohne Windows Hello keine Daten entschlüsseln, schreibt Hagenah und erklärt, dass es stattdessen den Benutzer zur Authentifizierung auffordere, im Hintergrund mitlaufe oder einfach darauf warte, bis sich der Benutzer selbst identifiziert habe.

Ist Totalrecall Reloaded einmal aktiv, lassen sich einige Aktionen, wie das Erstellen eines neuen Recall-Screenshots, das Erfassen bestimmter Metadaten und auch das Löschen der gesamten Recall-Datenbank – auch ohne Windows-Hello-Authentifizierung – durchführen.

Hagenah leitet seine Erkenntnisse am 6. März 2026 an Microsoft weiter. Der Konzern stufte diese am 3. April 2026 aber offiziell als "keine Sicherheitslücke" und schrieb laut Hagenah, dass "das beobachtete Verhalten innerhalb des aktuellen, dokumentierten Sicherheitsdesigns von Recall" liege und "die gezeigten Zugriffsmuster mit den vorgesehenen Schutzmechanismen und bestehenden Kontrollen übereinstimmen".

Zur Startseite 3 Kommentare

Relevante Themen

SoftwareToolsBetriebssystemeSecuritySicherheitslückeDatensicherheitWindows 11Windows Hello