Ha te is egy olyan számítógépet használsz, aminek van bármilyen érintős funkciója (ez lehet érintőkijelzős, vagy épp olyan, amihez érintőtollat, digitalizáló táblát csatlakoztatsz), akkor nagy eséllyel meglapul a Windows mélyén egy olyan fájl, ami hasonlóképpen működik, mint a kémek által előszeretettel használt keyloggerek: összegyűjt mindent, amit írsz, vagy ami máshonnan a gépre kerülő szöveges fájlokban található, azt pedig tudjuk, hogy az ilyesmi információt imádják a hackerek és egyéb jogosulatlan kutakodók.
A ludas a WaitList.dat nevű fájl, amely azoknál jelenik meg, akik bekapcsolják a Windows kézírás-felismerő funkcióját. Ez az, amely a kézzel vagy érintőtollal beírt irkafirkát átalakítja értelmezhető digitális karakterekké. A Windows 8 óta létező funkció alapvetően jó dolog, hiszen így saját kézírásunkkal is bevihetünk szöveget, amit jó eséllyel a gép képes átalakítani bárhol használható karakterekké, szavakká és írásjelekké. Viszont egy ehhez kapcsolódó funkció kicsit többet markol a személyes információinkból, mint kéne.
A digitális biztonsággal foglalkozó Barnaby Skeggs a ZDNetnek foglalta össze a túl sok adatot gyűjtő funkció veszélyeit. A WaitList.dat-ba elvileg azok a szavak és egyéb szöveges információk kerülnek be, amelyeket a felhasználók beírnak a gépbe, hogy ezek alapján könnyebben és gyorsabban tudja felismerni a rendszer azt, amikor az illető kézírással próbálja ezeket vagy hasonló szavakat bevinni. Viszont Skeggs szerint a fájl túlzásokba esik: egyrészt minden általunk beírt szöveget elment, és ezen felül az összes olyan dokumentum és e-mail tartalmát is, amit a Windows indexelő szolgáltatása elér - tehát egyáltalán nem csak azokat a szavakat, amiket ujjal írunk a kijelzőre vagy az érintőtollal kapirgálunk le.
A szakember szerint a fájlba nem metaadatok kerülnek, hanem a konkrét szövegek. Egy e-mail tartalma már akkor is beépülhet ide, amikor a felhasználó még meg se nyitotta azt, másrészt pedig a korábban már törölt dokumentumokban lévő szövegek is benne maradnak.
Red Team Tip: Have a shell on a Windows PC with a touch screen? Search for passwords in Waitlist.dat, a full text index of emails and documents used to improve handwriting recognition.
— Barnaby Skeggs (@barnabyskeggs) August 26, 2018
Powershell command below.
Read my research on Waitlist.dat here:https://t.co/Hk764Wqy4j
Skeggs szerint ez a Windows egyik legjobban titokban tartott furcsasága - már 2016-ban is írt róla blogbejegyzést, de mégsem kapott nagy nyilvánosságot a dolog. Most azonban újra felemlegette az ügyet, mivel egy érdekes alaphelyzettel demonstrálta, milyen veszélyeket rejthet. Egy egyszerű PowerShell utasítással rákeresett olyan dokumentumokra, ahol jelszavakat találhat, és a WaitList.dat-ban azonnal, mindenféle titkosítás nélkül talált is egy rakásnyit. Ha pedig ő meg tudta tenni mindezt, akkor képes rá egy olyan hacker is, aki vírussal vagy egyéb módon bejut a felhasználó gépére - innen aztán csak ezt a fájlt kell elérnie ahhoz, hogy fontos és bizalmas adatokhoz, jelszavakhoz, PIN kódokhoz jusson.
Jó kérdés, mit kezd majd mindezzel a Microsoft, hiszen a funkció alapvetően nem hiba, hanem egy valós célból létrehozott megoldás, csak épp ebben a formájában veszélyeket hordoz. Ha megnéznéd, nálad létezik-e ez a fájl (amely csak akkor jön létre, ha aktiválod a kézírás-felismerést), alapértelmezésben a
%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
elérési úton találod. A védekezés legjobb módja Skeggs szerint, ha először kikapcsolod a személyre szabott kézírás-felismerést, majd törlöd ezt a fájlt. Ha pedig szeretnéd megnézni, milyen adatok húzhatók ki belőle, a szakértő által írt két segédprogrammal nézheted át, ezeket itt és itt találod.
