Atualmente, um grande número de modelos de laptop e estações de trabalho multifuncionais têm suporte para entrada por toque. Isso é feito para a conveniência do usuário e agiliza o processo de seu trabalho. Mas, como se viu, os sistemas de computador com suporte ativado para entrada por toque têm uma função pouco conhecida que compromete os dados dos usuários desses sistemas.
Estamos falando de dispositivos executando o sistema operacional da Microsoft. O fato é que, se um computador com entrada de toque ativado for controlado usando o Windows, os dados do usuário desse sistema, incluindo logins e senhas, serão coletados em um arquivo separado e em formato quase aberto. Esta função não funciona em todos os PCs Windows com entrada por toque, mas apenas naqueles em que o reconhecimento de manuscrito está ativado.
Pela primeira vez, a Microsoft adicionou esse recurso ao Windows 8. O problema é que os dados com os quais o usuário está trabalhando são armazenados em um arquivo separado, pouco protegido contra interferências externas. Esse arquivo é chamado WaitList.dat, um dos especialistas em segurança de rede
descobriu que, após ativar a escrita manual, o arquivo é atualizado constantemente. WaitList.dat é gerado pelo sistema imediatamente após ativar a opção de reconhecimento de manuscrito.
Depois disso, os dados de quase qualquer documento ou email indexado pela Pesquisa do Windows são salvos no arquivo especificado. Vale ressaltar que não se trata de metadados, mas de informações textuais de documentos. Para que as informações sejam migradas para esse arquivo, o usuário não precisa abrir mensagens de email ou arquivos doc. Assim que são indexados pelo serviço Windows, tudo é salvo automaticamente no local especificado.
Barnaby Skeggs, especialista em segurança da informação que foi um dos primeiros a encontrar esse problema no Windows,
diz que o arquivo WaitList.dat em seu PC armazena um "aperto" de texto de qualquer documento ou mensagem de email. E isso é verdade mesmo que o arquivo original seja excluído - no WaitList.dat as informações continuam sendo armazenadas.
"Se o arquivo de origem for excluído, seus dados indexados continuarão sendo armazenados no WaitList.dat", diz o especialista. Isso, em teoria, oferece amplas oportunidades para invasores que, por um motivo ou outro, decidem estudar os dados de determinados usuários.
Vale a pena notar que o problema em si não é um segredo. O mesmo Skeggs escreveu sobre ela pela primeira vez em 2016, e seu post recebeu atenção mínima de especialistas técnicos. Tanto quanto você pode entender, os desenvolvedores da tecnologia estavam mais preocupados com o DFIR e menos com a segurança da rede de um usuário específico. Por enquanto, o problema não foi amplamente discutido.
No mês passado, Skegg concluiu que os invasores poderiam (teoricamente) facilmente roubar dados do usuário. Por exemplo, se um invasor tiver acesso ao sistema atacado e precisar de senhas e logins de usuários de um PC invadido, ele não precisará procurar trechos de logins e senhas em todos os lugares, lidar com hashes etc. - você só precisa analisar o arquivo WaitList.dat e obter todos os dados necessários.
Por que procurar informações em todo o disco, principalmente porque muitos documentos podem ser protegidos por senha? Basta copiar o arquivo WaitList.dat e continuar a analisá-lo do seu lado.
Vale ressaltar que o especialista em segurança de rede que descobriu o problema não entrou em contato com a Microsoft. Ele acredita que isso não é um "bug, mas um recurso", ou seja, os desenvolvedores do sistema operacional Windows projetaram o sistema especialmente para o que é agora. Portanto, se isso não for uma vulnerabilidade, os desenvolvedores estão cientes disso e podem resolver o problema a qualquer momento.
De acordo com Seggs, o local padrão do arquivo é:
C: \ Usuários \% Usuário% \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datSe o "Reconhecimento de escrita manual personalizado" não for necessário, é melhor desativá-lo completamente. Nesse caso, os arquivos de indexação não salvam todos os dados no arquivo especificado sem exceção.