يتوفر عدد كبير من طرازات أجهزة الكمبيوتر المحمول ومحطات العمل المتكاملة في الوقت الحاضر بدعم الإدخال باللمس. يتم ذلك لراحة المستخدم وتسريع عملية عمله. ولكن ، كما اتضح ، فإن أنظمة الكمبيوتر ذات الدعم المنشط للإدخال باللمس لها وظيفة واحدة غير معروفة تهدد بيانات مستخدمي هذه الأنظمة.
نحن نتحدث عن الأجهزة التي تعمل بنظام التشغيل من Microsoft. والحقيقة هي أنه إذا تم التحكم في جهاز كمبيوتر مزود بإدخال اللمس المنشط باستخدام Windows ، فإن بيانات المستخدم لهذا النظام ، بما في ذلك تسجيلات الدخول وكلمات المرور ، يتم جمعها في ملف منفصل وفي شكل مفتوح تقريبًا. لا تعمل هذه الوظيفة على جميع أجهزة الكمبيوتر التي تعمل بنظام Windows مع إدخال باللمس ، ولكن فقط على تلك التي تم تمكين التعرف على خط اليد فيها.
للمرة الأولى ، أضافت Microsoft هذه الميزة إلى نظام التشغيل Windows 8. المشكلة هي أن البيانات التي يعمل عليها المستخدم مخزنة في ملف منفصل ، وهو محمي بشكل سيئ من التداخل الخارجي. يُطلق على هذا الملف WaitList.dat ، وقد وجد أحد خبراء أمان الشبكة أنه بعد تنشيط الكتابة اليدوية ، يتم تحديث الملف باستمرار. يتم إنشاء WaitList.dat بواسطة النظام مباشرة بعد تشغيل خيار التعرف على خط اليد.
بعد ذلك ، يتم حفظ بيانات أي مستند أو بريد إلكتروني مفهرس بواسطة Windows Search تقريبًا في الملف المحدد. تجدر الإشارة إلى أن هذا لا يتعلق بالبيانات الوصفية على الإطلاق ، ولكن حول المعلومات النصية من المستندات. لكي يتم ترحيل المعلومات إلى هذا الملف ، لا يحتاج المستخدم إلى فتح رسائل البريد الإلكتروني أو ملفات المستندات. بمجرد فهرستها بواسطة خدمة Windows ، يتم حفظ كل شيء تلقائيًا في الموقع المحدد.
يقول Barnaby Skeggs ، وهو متخصص في أمن المعلومات كان من أول من اكتشف هذه المشكلة على Windows ، أن ملف WaitList.dat الموجود على جهاز الكمبيوتر الخاص به يخزن "ضغط" من أي مستند نصي أو رسالة بريد إلكتروني. وينطبق هذا حتى إذا تم حذف الملف الأصلي - في WaitList.dat يستمر تخزين المعلومات.
يقول الخبير: "إذا تم حذف الملف المصدر ، فسيستمر تخزين بياناته المفهرسة في WaitList.dat". وهذا ، من الناحية النظرية ، يوفر فرصًا كبيرة للمهاجمين الذين قرروا ، لسبب أو لآخر ، دراسة بيانات بعض المستخدمين.
تجدر الإشارة إلى أن المشكلة نفسها ليست سرا. كتب نفس Skeggs عنها لأول مرة في عام 2016 ، وحظي منصبه باهتمام ضئيل من الخبراء التقنيين. بقدر ما يمكنك أن تفهم ، كان مطورو التكنولوجيا قلقين للغاية بشأن DFIR ، وأقل قلقًا بشأن أمان الشبكة لمستخدم معين. في الوقت الحاضر ، لم تتم مناقشة المشكلة على نطاق واسع.
في الشهر الماضي ، خلص Skegg إلى أن المهاجمين يمكنهم (نظريًا) سرقة بيانات المستخدم بسهولة. على سبيل المثال ، إذا كان لدى المهاجم حق الوصول إلى النظام الذي تمت مهاجمته ويحتاج إلى كلمات مرور وتسجيلات دخول مستخدم لجهاز كمبيوتر تم اختراقه ، فلن يحتاج إلى البحث عن مقتطفات تسجيلات الدخول وكلمات المرور في كل مكان ، للتعامل مع التجزئة ، وما إلى ذلك. - تحتاج فقط إلى تحليل ملف WaitList.dat والحصول على جميع البيانات اللازمة.
لماذا تبحث عن معلومات على القرص بأكمله ، خاصة وأن العديد من المستندات يمكن أن تكون محمية بكلمة مرور؟ ما عليك سوى نسخ ملف WaitList.dat ومتابعة تحليله على جانبك.
تجدر الإشارة إلى أن خبير أمن الشبكة الذي اكتشف المشكلة لم يتصل بـ Microsoft. وهو يعتقد أن هذا ليس "خللًا ، بل ميزة" ، أي أن مطوري نظام التشغيل Windows صمموا النظام خصيصًا لما هو عليه الآن. وفقًا لذلك ، إذا لم تكن هذه ثغرة ، فإن المطورين يدركون ذلك جيدًا ويمكنهم حل المشكلة في أي وقت.
وفقًا لـ Seggs ، فإن موقع الملف الافتراضي هو:
C: \ Users \٪ User٪ \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datإذا لم يكن "التعرف على خط اليد المخصص" ضروريًا ، فمن الأفضل إيقاف تشغيله بالكامل. في هذه الحالة ، لا تحفظ ملفات الفهرسة جميع البيانات في الملف المحدد دون استثناء.