Малоизвестная функция в Windows ставит под угрозу конфиденциальность данных
Файл WaitList.dat собирает текст из всех документов, проиндексированных индексатором службы Microsoft Windows Search.
Специалист в области компьютерной криминалистики Барнаби Скеггс (Barnaby Skeggs) обратил внимание на одну из функций в ОС Windows, которая может представлять угрозу конфиденциальности данных. В частности, проблема затрагивает владельцев устройств на базе версий Windows с поддержкой сенсорного экрана, где включена функция распознавания рукописного текста (впервые появилась в Windows 8).
Речь идет о файле WaitList.dat, который призван улучшить работу функционала. С помощью данного файла система распознает текст и предлагает правки слов, используемых чаще всего. Проблема заключается в том, что при активации функции распознавания WaitList.dat собирает текст из всех документов (файлы Office, электронные письма и т.д.), проиндексированных индексатором службы Microsoft Windows Search.
Пользователю даже не нужно открывать файл или электронное сообщение, достаточно того, что они сохранены на диске, а формат файла поддерживается индексатором, пояснил Скеггс в интервью изданию ZDNet. В большинстве случаев, с которыми сталкивался эксперт, файл WaitList.dat содержал фрагмент текста из каждого документа или электронного письма, даже если исходные файлы уже были удалены. В 2016 году специалист уже пытался привлечь внимание общественности к проблеме, однако тогда его сообщение прошло практически незамеченным.
Скеггс привел несколько сценариев эксплуатации данной функции злоумышленниками. К примеру, если у атакующего есть доступ к целевой системе, WaitList.dat предоставляет альтернативный способ сбора паролей и иной конфиденциальной информации.
WaitList.dat не представляет опасности, если функция распознавания рукописного текста не включена, но даже если она активирована, для использования файла в своих целях злоумышленнику потребуется инфицировать систему вредоносным ПО или получить к ней физический доступ.
Согласно Скеггсу, данный файл расположен в каталоге C:Users%User%AppDataLocalMicrosoftInputPersonalizationTextHarvesterWaitList.dat.
Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.