image

Большое количество моделей ноутбуков и all-in-one рабочих станций в наше время имеют поддержку сенсорного ввода. Это сделано для удобства пользователя и ускорения процесса его работы. Но, как оказалось, у компьютерных систем с активированной поддержкой тач-ввода есть одна малоизвестная функция, которая ставит под угрозу данные пользователей таких систем.

Речь идет об устройствах под управлением операционной системы от Microsoft. Дело в том, что если компьютер с активированным тач-вводом управляется при помощи ОС Windows, то данные пользователя этой системы, включая логины и пароли, собираются в отдельный файл, причем практически в открытом виде. Эта функция работает не на всех подряд Windows-ПК с тач-вводом, а только о тех из них, где включено распознавание рукописного текста.

Впервые Microsoft добавила такую возможность в свою ОС Windows 8. Проблема в том, что данные, с которыми работает пользователь, сохраняются в отдельный файл, который плохо защищен от внешнего вмешательства. Этот файл называется WaitList.dat, один из экспертов по сетевой безопасности обнаружил, что после активации рукописного ввода файл постоянно обновляется. WaitList.dat генерируется системой сразу же после включения опции распознавания рукописного ввода.

После этого данные практически любого документа или email, проиндексированных Windows Search, оказываются сохраненными в указанном файле. Стоит подчеркнуть, что речь идет вовсе не о метаданных, а о текстовой информации из документов. Для того, чтобы информация перекочевала в этот файл, пользователю не нужно открывать сообщения электронной почты или doc-файлы. Как только они оказываются проиндексированными службой Windows, все автоматически сохраняется в указанной локации.

Барнаби Скеггс, специалист по информационной безопасности, который одним из первых обнаружил указанную проблему в Windows, говорит, что файл WaitList.dat на его ПК хранит «выжимку» текста из любого текстового документа или сообщения электронной почты. Причем это справедливо даже в том случае, если исходный файл удален — в WaitList.dat информация продолжает храниться.

«Если исходный файл удален, его проиндексированные данные продолжают храниться в WaitList.dat», — говорит эксперт. Это, в теории дает широкие возможности злоумышленникам, которые по той либо иной причине решили изучить данные определенных пользователей.

Стоит отметить, что сама проблема не является секретом. Тот же Скеггс написал о ней впервые в 2016 году, причем его пост получил минимальное внимание технических специалистов. Насколько можно понять, разработчики технологии больше всего беспокоились о DFIR, и меньше — о сетевой безопасности конкретного пользователя. До поры до времени проблему широко не обсуждали.

В прошлом месяце Скегг пришел к выводу, что злоумышленники могут (теоретически) без проблем красть данные пользователей. Например, если у атакующего есть доступ к атакуемой системе, и ему нужны пароли и логины пользователя взломанного ПК, то ему не нужно искать везде и всюду обрывки логинов и паролей, иметь дело с хэшами и т.п. — нужно лишь проанализировать файл WaitList.dat и получить все необходимые данные.

Зачем искать информацию по всему диску, тем более, что многие документы могут быть запаролены? Достаточно просто скопировать файл WaitList.dat и дальше заниматься его анализом уже на своей стороне.


Стоит отметить, что эксперт по сетевой безопасности, обнаруживший проблему, не обращался в Microsoft. Он считает, что это не «баг, а фича», то есть разработчики операционной системы Windows специально спроектировали систему такой, какой она является сейчас. Соответственно, если это не уязвимость, то разработчикам о ней хорошо известно и они могут в любой момент решить проблему.

По словам Сеггса, расположение файла по умолчанию такое:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Если в «Personalised Handwriting Recognition» нет необходимости, то лучшее ее отключить насовсем. В этом случае индексация файлов не приводит к сохранению всех без исключения данных в указанном файле.

Комментарии (9)


  1. zaqqq13
    21.09.2018 14:17

    Довольно спорное решение для индексации, могли бы хоть ради приличия сделать простенькое шифрование файла. Да, это не поможет в борьбе со злоумышленником, зато хоть немного затруднит задачу кражи данных


    1. selivanov_pavel
      21.09.2018 16:04
      +1

      Такие полумеры не помогут против злоумышленника, зато затруднят обнаружение проблемы. Не надо так.


      1. zaqqq13
        21.09.2018 17:46

        Это да, но и совсем открытым оставлять файл с критически важной информацией я бы не стал


        1. oteuqpegop
          21.09.2018 19:22

          Вероятно, информация из этого файла периодически как-то используется, иначе бы не было смысла его создавать. Файл лежит в AppData, значит, работа с ним скорее всего не делегирована привилегированным системным процессам. Тогда процессы пользователя сами периодически должны бы были расшифровывать информацию, и у них легко бы было перехватить ключ. Но даже если бы шифрованием занималась система, выдавая расшифрованную информацию пользовательским процессам по требованию, отличить легитимное считывание от нелегитимного весьма сложно (особенно, если учесть, что там в первую очередь Office, в котором VBA и прочие непотребства). В общем, в простейшем случае такой защиты злоумышленник бы просто считал ключ шифрования из реестра, или где бы он там хранился; а в случае делегирования шифрования системе — запросил бы считывание информации у нее.

          Остается еще вариант, при котором тексты только зашифровываются для отправки в АНБ, а пользователь потом не имеет к ним доступа, но этим вроде бы DiagTrack занимается, а не служба индексирования.


          1. Leozaur
            23.09.2018 12:28

            Я полагаю, это просто список активных слов (популярных/недавних), чтобы в случае плохого почерка добавить веса этим словам для подмены.


  1. kalininmr
    21.09.2018 17:02

    я тут прифигел от десятки. она вобще в облако по умолчанию


  1. tvr
    21.09.2018 17:49
    +1

    Данные пользователей Windows на ПК с поддержкой сенсорного ввода пишутся в отдельный файл


    А пальчики, пальчики пишет, нет? Если нет, то это явная недоработка!


  1. YuriM1983
    23.09.2018 13:31

    Сразу вспоминается кейлоггер в драйверах Synaptic на ноутбуках HP.
    А проблемка-то повсеместная…


  1. Machine79
    24.09.2018 19:20

    Давайте думать только о хорошем. Ну не могут нас обманывать выдавая одно за другое !))))