如今,许多笔记本电脑型号和多合一工作站都支持触摸输入。 这样做是为了方便用户,并加快了他的工作过程。 但是,事实证明,激活了对触摸输入的支持的计算机系统具有一项鲜为人知的功能,该功能损害了此类系统的用户数据。
我们正在谈论的是运行Microsoft操作系统的设备。 事实是,如果使用Windows控制具有激活的触摸输入的计算机,则该系统的用户数据(包括登录名和密码)将收集到单独的文件中,并且几乎是开放形式。 此功能不适用于所有带有触摸输入的Windows PC,仅适用于启用了手写识别的计算机。
Microsoft首次在Windows 8中添加了此功能。问题是,用户使用的数据存储在单独的文件中,该文件没有受到良好的保护以免受外部干扰。 该文件称为WaitList.dat,网络安全专家之一
发现 ,激活手写功能后,该文件会不断更新。 在打开手写识别选项后,系统立即生成WaitList.dat。
之后,Windows Search索引的几乎所有文档或电子邮件的数据都保存在指定的文件中。 值得强调的是,这根本不涉及元数据,而是有关文档中的文本信息。 为了使信息迁移到此文件,用户不需要打开电子邮件或doc文件。 Windows服务为它们建立索引后,所有内容都会自动保存在指定位置。
信息安全专家Barnaby Skeggs是最早在Windows上发现此问题的人之一,他说PC上的WaitList.dat文件存储了来自任何文本文档或电子邮件的文本“压缩”。 即使删除了原始文件,也是如此-在WaitList.dat中,信息将继续存储。
专家说:“如果源文件被删除,则其索引数据将继续存储在WaitList.dat中。” 从理论上讲,这为因某种原因决定研究某些用户数据的攻击者提供了充分的机会。
值得注意的是,问题本身并不是秘密。 斯凯格斯(Skeggs)在2016年也第一次写关于她的文章,他的帖子很少受到技术专家的关注。 据您了解,该技术的开发人员最担心DFIR,而不是特定用户的网络安全。 目前,该问题尚未得到广泛讨论。
上个月,Skegg得出结论,攻击者可以(理论上)轻松地窃取用户数据。 例如,如果攻击者可以访问被攻击的系统并且需要被黑客入侵的PC的密码和用户登录名,那么他就无需在各处查找登录名和密码的摘要,处理哈希等。 -您只需要分析WaitList.dat文件并获取所有必要的数据。
为什么要在整个磁盘上查找信息,尤其是由于许多文档可以使用密码保护? 只需复制WaitList.dat文件,然后继续对您进行分析。
值得注意的是,发现问题的网络安全专家未与Microsoft联系。 他认为这不是“错误,而是功能”,也就是说,Windows操作系统的开发人员专门针对当前系统进行了设计。 因此,如果这不是漏洞,那么开发人员将充分意识到这一点,他们可以随时解决问题。
根据Seggs的说法,默认文件位置为:
C:\ Users \%User%\ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.dat如果不需要“个性化手写识别”,则最好将其完全关闭。 在这种情况下,索引文件不会毫无例外地将所有数据保存在指定文件中。