Una gran cantidad de modelos de computadoras portátiles y estaciones de trabajo todo en uno hoy en día tienen soporte de entrada táctil. Esto se hace para la conveniencia del usuario y agiliza el proceso de su trabajo. Pero, como resultó, los sistemas informáticos con soporte activado para entrada táctil tienen una función poco conocida que compromete los datos de los usuarios de dichos sistemas.
Estamos hablando de dispositivos que ejecutan el sistema operativo de Microsoft. El hecho es que si una computadora con entrada táctil activada se controla mediante Windows, los datos de usuario de este sistema, incluidos los inicios de sesión y las contraseñas, se recopilan en un archivo separado y de forma casi abierta. Esta función no funciona en todas las PC con Windows con entrada táctil, sino solo en aquellas en las que el reconocimiento de escritura está habilitado.
Por primera vez, Microsoft agregó esta característica a su Windows 8. El problema es que los datos con los que trabaja el usuario se almacenan en un archivo separado, que está poco protegido contra interferencias externas. Este archivo se llama WaitList.dat, uno de los expertos en seguridad de red
descubrió que después de activar la escritura a mano, el archivo se actualiza constantemente. WaitList.dat es generado por el sistema inmediatamente después de activar la opción de reconocimiento de escritura a mano.
Después de eso, los datos de casi cualquier documento o correo electrónico indexado por Windows Search se guardan en el archivo especificado. Vale la pena enfatizar que no se trata de metadatos en absoluto, sino de información textual de los documentos. Para que la información migre a este archivo, el usuario no necesita abrir mensajes de correo electrónico o archivos de documentos. Tan pronto como son indexados por el servicio de Windows, todo se guarda automáticamente en la ubicación especificada.
Barnaby Skeggs, un especialista en seguridad de la información que fue uno de los primeros en encontrar este problema en Windows,
dice que el archivo WaitList.dat en su PC almacena una "compresión" de texto de cualquier documento de texto o mensaje de correo electrónico. Y esto es cierto incluso si se elimina el archivo original: en WaitList.dat la información continúa almacenada.
"Si se elimina el archivo fuente, sus datos indexados continúan almacenándose en WaitList.dat", dice el experto. Esto, en teoría, brinda amplias oportunidades a los atacantes que, por una razón u otra, deciden estudiar los datos de ciertos usuarios.
Vale la pena señalar que el problema en sí no es un secreto. El mismo Skeggs escribió sobre ella por primera vez en 2016, y su publicación recibió una atención mínima por parte de expertos técnicos. Por lo que puede entender, los desarrolladores de la tecnología estaban más preocupados por DFIR, y menos por la seguridad de la red de un usuario en particular. Por el momento, el problema no fue ampliamente discutido.
El mes pasado, Skegg concluyó que los atacantes podrían (en teoría) robar fácilmente los datos de los usuarios. Por ejemplo, si un atacante tiene acceso al sistema atacado y necesita contraseñas e inicios de sesión de los usuarios de una PC pirateada, entonces no necesita buscar fragmentos de inicios de sesión y contraseñas en todas partes, lidiar con hashes, etc. - solo necesita analizar el archivo WaitList.dat y obtener todos los datos necesarios.
¿Por qué buscar información en todo el disco, especialmente porque muchos documentos pueden estar protegidos con contraseña? Simplemente copie el archivo WaitList.dat y continúe analizándolo de su lado.
Vale la pena señalar que el experto en seguridad de red que descubrió el problema no se contactó con Microsoft. Él cree que esto no es un "error, sino una característica", es decir, los desarrolladores del sistema operativo Windows diseñaron especialmente el sistema para lo que es ahora. En consecuencia, si esto no es una vulnerabilidad, entonces los desarrolladores lo saben y pueden resolver el problema en cualquier momento.
Según Seggs, la ubicación predeterminada del archivo es:
C: \ Users \% User% \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datSi no es necesario el "Reconocimiento personalizado de escritura a mano", lo mejor es desactivarlo por completo. En este caso, la indexación de archivos no guarda todos los datos en el archivo especificado sin excepción.