Sejumlah besar model laptop dan workstation all-in-one saat ini memiliki dukungan input sentuh. Ini dilakukan untuk kenyamanan pengguna dan mempercepat proses pekerjaannya. Tetapi, ternyata, sistem komputer dengan dukungan yang diaktifkan untuk input sentuhan memiliki satu fungsi yang kurang diketahui yang membahayakan data pengguna sistem tersebut.
Kita berbicara tentang perangkat yang menjalankan sistem operasi dari Microsoft. Faktanya adalah bahwa jika komputer dengan input sentuh yang diaktifkan dikontrol menggunakan Windows, maka data pengguna sistem ini, termasuk login dan kata sandi, dikumpulkan dalam file terpisah, dan dalam bentuk yang hampir terbuka. Fungsi ini tidak berfungsi pada semua Windows-PC dengan input sentuh, tetapi hanya pada mereka yang mengaktifkan pengenalan tulisan tangan.
Untuk pertama kalinya, Microsoft menambahkan fitur ini ke Windows 8. Masalahnya adalah bahwa data yang digunakan pengguna disimpan dalam file terpisah, yang tidak terlindungi dengan baik dari gangguan eksternal. File ini disebut WaitList.dat, salah satu pakar keamanan jaringan
menemukan bahwa setelah mengaktifkan tulisan tangan, file tersebut terus diperbarui. WaitList.dat dihasilkan oleh sistem segera setelah mengaktifkan opsi pengenalan tulisan tangan.
Setelah itu, data dari hampir semua dokumen atau email yang diindeks oleh Windows Search disimpan dalam file yang ditentukan. Perlu ditekankan bahwa ini bukan tentang metadata sama sekali, tetapi tentang informasi tekstual dari dokumen. Agar informasi dapat dimigrasi ke file ini, pengguna tidak perlu membuka pesan email atau file doc. Segera setelah mereka diindeks oleh layanan Windows, semuanya secara otomatis disimpan di lokasi yang ditentukan.
Barnaby Skeggs, seorang spesialis keamanan informasi yang merupakan salah satu yang pertama kali menemukan masalah ini pada Windows,
mengatakan bahwa file WaitList.dat di PC-nya menyimpan teks yang "diperas" dari dokumen teks atau pesan email apa pun. Dan ini benar bahkan jika file asli dihapus - di WaitList.dat informasinya terus disimpan.
"Jika file sumber dihapus, data yang diindeks terus disimpan di WaitList.dat," kata pakar. Ini, secara teori, memberi banyak peluang bagi penyerang yang, karena satu dan lain alasan, memutuskan untuk mempelajari data pengguna tertentu.
Perlu dicatat bahwa masalahnya sendiri bukan rahasia. Skeggs yang sama menulis tentangnya untuk pertama kali pada tahun 2016, dan jabatannya mendapat perhatian minimal dari para pakar teknis. Sejauh yang Anda mengerti, para pengembang teknologi paling khawatir tentang DFIR, dan lebih sedikit tentang keamanan jaringan pengguna tertentu. Untuk saat ini, masalahnya tidak banyak dibahas.
Bulan lalu, Skegg menyimpulkan bahwa penyerang bisa (secara teoritis) dengan mudah mencuri data pengguna. Sebagai contoh, jika seorang penyerang memiliki akses ke sistem yang diserang dan membutuhkan kata sandi dan login pengguna dari PC yang diretas, maka ia tidak perlu mencari potongan login dan kata sandi di mana-mana, untuk menangani hash, dll. - Anda hanya perlu menganalisis file WaitList.dat dan mendapatkan semua data yang diperlukan.
Mengapa mencari informasi di seluruh disk, terutama karena banyak dokumen dapat dilindungi kata sandi? Cukup salin file WaitList.dat dan terus menganalisanya di sisi Anda.
Perlu dicatat bahwa pakar keamanan jaringan yang menemukan masalah tidak menghubungi Microsoft. Dia percaya bahwa ini bukan "bug, tetapi fitur", yaitu, pengembang sistem operasi Windows yang dirancang khusus untuk sistem seperti sekarang. Dengan demikian, jika ini bukan kerentanan, maka pengembang sangat menyadarinya dan mereka dapat memecahkan masalah kapan saja.
Menurut Seggs, lokasi file default adalah:
C: \ Users \% User% \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datJika "Pengenalan Tulisan Tangan Pribadi" tidak diperlukan, maka yang terbaik adalah mematikannya sepenuhnya. Dalam hal ini, pengindeksan file tidak menyimpan semua data dalam file yang ditentukan tanpa kecuali.