СофтХабрахабр

Данные пользователей Windows на ПК с поддержкой сенсорного ввода пишутся в отдельный файл

image

Это сделано для удобства пользователя и ускорения процесса его работы. Большое количество моделей ноутбуков и all-in-one рабочих станций в наше время имеют поддержку сенсорного ввода. Но, как оказалось, у компьютерных систем с активированной поддержкой тач-ввода есть одна малоизвестная функция, которая ставит под угрозу данные пользователей таких систем.

Дело в том, что если компьютер с активированным тач-вводом управляется при помощи ОС Windows, то данные пользователя этой системы, включая логины и пароли, собираются в отдельный файл, причем практически в открытом виде. Речь идет об устройствах под управлением операционной системы от Microsoft. Проблема в том, что данные, с которыми работает пользователь, сохраняются в отдельный файл, который плохо защищен от внешнего вмешательства. Эта функция работает не на всех подряд Windows-ПК с тач-вводом, а только о тех из них, где включено распознавание рукописного текста.
Впервые Microsoft добавила такую возможность в свою ОС Windows 8. WaitList.dat генерируется системой сразу же после включения опции распознавания рукописного ввода. Этот файл называется WaitList.dat, один из экспертов по сетевой безопасности обнаружил, что после активации рукописного ввода файл постоянно обновляется.

Стоит подчеркнуть, что речь идет вовсе не о метаданных, а о текстовой информации из документов. После этого данные практически любого документа или email, проиндексированных Windows Search, оказываются сохраненными в указанном файле. Как только они оказываются проиндексированными службой Windows, все автоматически сохраняется в указанной локации. Для того, чтобы информация перекочевала в этот файл, пользователю не нужно открывать сообщения электронной почты или doc-файлы.

Причем это справедливо даже в том случае, если исходный файл удален — в WaitList.dat информация продолжает храниться. Барнаби Скеггс, специалист по информационной безопасности, который одним из первых обнаружил указанную проблему в Windows, говорит, что файл WaitList.dat на его ПК хранит «выжимку» текста из любого текстового документа или сообщения электронной почты.

Это, в теории дает широкие возможности злоумышленникам, которые по той либо иной причине решили изучить данные определенных пользователей. «Если исходный файл удален, его проиндексированные данные продолжают храниться в WaitList.dat», — говорит эксперт.

Тот же Скеггс написал о ней впервые в 2016 году, причем его пост получил минимальное внимание технических специалистов. Стоит отметить, что сама проблема не является секретом. До поры до времени проблему широко не обсуждали. Насколько можно понять, разработчики технологии больше всего беспокоились о DFIR, и меньше — о сетевой безопасности конкретного пользователя.

Например, если у атакующего есть доступ к атакуемой системе, и ему нужны пароли и логины пользователя взломанного ПК, то ему не нужно искать везде и всюду обрывки логинов и паролей, иметь дело с хэшами и т.п. В прошлом месяце Скегг пришел к выводу, что злоумышленники могут (теоретически) без проблем красть данные пользователей. — нужно лишь проанализировать файл WaitList.dat и получить все необходимые данные.

Достаточно просто скопировать файл WaitList.dat и дальше заниматься его анализом уже на своей стороне. Зачем искать информацию по всему диску, тем более, что многие документы могут быть запаролены?

Стоит отметить, что эксперт по сетевой безопасности, обнаруживший проблему, не обращался в Microsoft. Он считает, что это не «баг, а фича», то есть разработчики операционной системы Windows специально спроектировали систему такой, какой она является сейчас. Соответственно, если это не уязвимость, то разработчикам о ней хорошо известно и они могут в любой момент решить проблему.

По словам Сеггса, расположение файла по умолчанию такое:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

В этом случае индексация файлов не приводит к сохранению всех без исключения данных в указанном файле. Если в «Personalised Handwriting Recognition» нет необходимости, то лучшее ее отключить насовсем.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть