SafeGroup

Pełna wersja: Mało znany plik Windows może przechwytywać dane użytkownika
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Temat opisano na DP i za nimi cytat
Cytat:Niezbyt popularna funkcja Windowsa może stanowić spore zagrożenie, jeśli jeden z plików wpadnie w niepowołane ręce albo gdy użytkownik chce coś ukryć. W pliku tekstowym mogą być zapisane fragmenty e-maili, innych plików, czasami też wrażliwe informacje albo hasła. Jeśli korzystasz z urządzenia z ekranem dotykowym albo rysikiem, jest spora szansa, że ten plik znajduje się także na twoim komputerze, a różne strzępki informacji są w nim gromadzone odkąd go masz.

Plik o nazwie WaitList.dat można znaleźć na urządzeniach z ekranem dotykowym, jeśli użytkownik uruchomił rozpoznawanie pisma odręcznego, zamieniające narysowane ręcznie kształty na tekst, który można edytować. Funkcja ta działa od Windowsa 8, co oznacza, że plik może znajdować się na czyimś komputerze od kilku lat. Zadaniem tego pliku jest przechowywanie fragmentów tekstu, który będzie wykorzystany podczas ulepszania rozpoznawania pisma i podpowiadania rozpoznanych słów, które są przez użytkownika często używane. Domyślnie znajduje się w położeniu:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\
TextHarvester\WaitList.dat

Uruchomienie rozpoznawania pisma odręcznego zmienia wartość rejestru, odpowiedzialną za możliwość zbierania fragmentów tekstu, które będą następnie zapisywane w tym pliku. Po przełączeniu może tam się znaleźć tekst nie tylko z każdego pliku, który był edytowany z pomocą pisania odręcznego. Nie będą to nawet pliki, które były otwierane przez użytkownika. Może to być każdy dokument czy e-mail, który został zaindeksowany przez Windows Search. Warto tu przypomnieć, że wyszukiwarka systemowa gromadzi nie tylko metadane, ale też zawartość plików w różnych formatach, obsługiwanych przez wyszukiwarkę. Po usunięciu pliku z dysku fragmenty tekstu wciąż będą znajdować się w WaitList.dat i wcale nie trzeba się starać, by je odzyskać. Gdyby komputer miał być dowodem w dochodzeniu kryminalnym, śledczy mogą w ten sposób uzyskać dowód, że taki plik znajdował się na dysku, nawet jeśli został wielokrotnie nadpisany i nie da się go odzyskać tradycyjnymi metodami.

Plik robi się groźny dla przeciętnego użytkownika, jeśli otrzymuje on hasło e-mailem (taką praktykę wciąż prowadzą niektóre sklepy internetowe i stare fora) lub zapisuje hasła w plikach tekstowych, co wciąż jest niestety popularną praktyką. Ponadto plik może zebrać fragmenty korespondencji, którymi niekoniecznie mamy ochotę dzielić się ze światem, łącznie z danymi osobowymi i adresami. Gdyby cyberprzestępca uzyskał dostęp do systemu, czy to lokalnie, czy przez atak zdalny malware, może wydobyć ten plik i dość szybko zdobyć sporo wrażliwych informacji. Nie musi nawet przeszukiwać dysku, gdyż wspomniany plik znajduje się zwykle w tym samym miejscu na każdym komputerze.

[Aby zobaczyć linki, zarejestruj się tutaj]


Poniżej screen z testu tej podatności wykonanej przez redakcję ZDNet
[Obrazek: handwriting-keyboard.png]
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]