Большое количество моделей ноутбуков и all-in-one рабочих станций в наше время имеют поддержку сенсорного ввода. Это сделано для удобства пользователя и ускорения процесса его работы. Но, как оказалось, у компьютерных систем с активированной поддержкой тач-ввода есть одна малоизвестная функция, которая ставит под угрозу данные пользователей таких систем.

Речь идет об устройствах под управлением операционной системы от Microsoft. Дело в том, что если компьютер с активированным тач-вводом управляется при помощи ОС Windows, то данные пользователя этой системы, включая логины и пароли, собираются в отдельный файл, причем практически в открытом виде. Эта функция работает не на всех подряд Windows-ПК с тач-вводом, а только о тех из них, где включено распознавание рукописного текста.

Впервые Microsoft добавила такую возможность в свою ОС Windows 8. Проблема в том, что данные, с которыми работает пользователь, сохраняются в отдельный файл, который плохо защищен от внешнего вмешательства. Этот файл называется WaitList.dat, один из экспертов по сетевой безопасности обнаружил, что после активации рукописного ввода файл постоянно обновляется. WaitList.dat генерируется системой сразу же после включения опции распознавания рукописного ввода.

После этого данные практически любого документа или email, проиндексированных Windows Search, оказываются сохраненными в указанном файле. Стоит подчеркнуть, что речь идет вовсе не о метаданных, а о текстовой информации из документов. Для того, чтобы информация перекочевала в этот файл, пользователю не нужно открывать сообщения электронной почты или doc-файлы. Как только они оказываются проиндексированными службой Windows, все автоматически сохраняется в указанной локации.

Барнаби Скеггс, специалист по информационной безопасности, который одним из первых обнаружил указанную проблему в Windows, говорит, что файл WaitList.dat на его ПК хранит «выжимку» текста из любого текстового документа или сообщения электронной почты. Причем это справедливо даже в том случае, если исходный файл удален — в WaitList.dat информация продолжает храниться.

«Если исходный файл удален, его проиндексированные данные продолжают храниться в WaitList.dat», — говорит эксперт. Это, в теории дает широкие возможности злоумышленникам, которые по той либо иной причине решили изучить данные определенных пользователей.

Стоит отметить, что сама проблема не является секретом. Тот же Скеггс написал о ней впервые в 2016 году, причем его пост получил минимальное внимание технических специалистов. Насколько можно понять, разработчики технологии больше всего беспокоились о DFIR, и меньше — о сетевой безопасности конкретного пользователя. До поры до времени проблему широко не обсуждали.

В прошлом месяце Скегг пришел к выводу, что злоумышленники могут (теоретически) без проблем красть данные пользователей. Например, если у атакующего есть доступ к атакуемой системе, и ему нужны пароли и логины пользователя взломанного ПК, то ему не нужно искать везде и всюду обрывки логинов и паролей, иметь дело с хэшами и т.п. — нужно лишь проанализировать файл WaitList.dat и получить все необходимые данные.

Зачем искать информацию по всему диску, тем более, что многие документы могут быть запаролены? Достаточно просто скопировать файл WaitList.dat и дальше заниматься его анализом уже на своей стороне.


Стоит отметить, что эксперт по сетевой безопасности, обнаруживший проблему, не обращался в Microsoft. Он считает, что это не «баг, а фича», то есть разработчики операционной системы Windows специально спроектировали систему такой, какой она является сейчас. Соответственно, если это не уязвимость, то разработчикам о ней хорошо известно и они могут в любой момент решить проблему.

По словам Сеггса, расположение файла по умолчанию такое:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Если в «Personalised Handwriting Recognition» нет необходимости, то лучшее ее отключить насовсем. В этом случае индексация файлов не приводит к сохранению всех без исключения данных в указанном файле.