原文地址:https://www.hackeye.net/threatintelligence/16393.aspx
外媒ZDNet在周三(9月19日)发表的一篇报道中指出,如果你是触控笔或触屏计算机的用户之一,那么在你的计算机上很可能存在这样一个文件,它在过去的几个月甚至几年时间里已经隐秘地收集了大量有关于你的敏感数据。
这个文件名为“WaitList.dat”。根据数字取证和事件响应(DFIR)专家Barnaby Skeggs的说法,这个文件只在那些支持触摸屏的Windows计算机上被发现,它来源于用户启用的可以自动将触控笔/触屏涂鸦转换成格式化文本的手写识别功能。
ZDNet在其报道中解释说,这个功能最初是在Windows 8种增加的,这也就意味着WaitList.dat文件已经存在了许多年。而这个文件的作用是存储文本,进而帮助Windows优化和改进其手写识别功能,以便能够更加精准地识别用户通过手写的文字。
“在我的测试中,这个文件会在你最初进行手写时生成,并开启文本采集器功能。”Skeggs说,“一旦该功能开启,Windows Search索引服务所索引的每一个文档和电子邮件的文本都会存储在WaitList.dat中,而不仅仅是通过手写识别功能转换的格式化文本。”
由于Windows Search索引服务支持系统范围内的Windows搜索功能,这意味着计算机上所有基于文本的文件(如电子邮件或办公文档)的数据都将被收集到WaitList.dat文件中。这不仅包括元数据,还包括实际文档的文本。
Skeggs告诉ZDNet:“用户甚至不需要打开文件/电子邮件,只要硬盘上有文件的副本,并且文件的格式得到Windows Search索引服务的支持。”
“在我的计算机上,我进行了大量的测试,WaitList.dat几乎包含了系统上每一个文档或电子邮件文件的文本摘录,即使源文件已经被删除。”Skeggs补充说。
此外,Skeggs还表示,WaitList.dat也可用于从已删除的文档中恢复文本。
实际上,Skeggs遭在2016年就撰写过一篇关于WaitList.dat文件的博文,但他的发现几乎没有被报道过,主要是因为他最初的分析关注的是数字取证和事件响应方面,而不是该文件可能引起的隐私问题。
但是上个月,Skeggs通过Twitter发布了一种可能的攻击场景。例如,如果攻击者能够物理访问某个系统,或者通过恶意软件获得某个系统的访问权限,并且他想要收集尚未存储在浏览器数据库或密码管理器库中的密码,那么WaitList.dat便提供了一种能够恢复大量数据的方法。
Skeggs说,攻击者完全可以通过物理访问或者恶意软件来轻松获取 WaitList.dat文件,然后使用简单的PowerShell命令来搜索密码,而不必把时间浪费在搜索整个硬盘以找出可能包含密码的文档上。
Skeggs没有与微软就他的研究结果进行联系,因为他认为这属于Windows操作系统预置功能的一种潜在威胁,而不属于一个安全漏洞。除非用户启用了手写识别功能,并且攻击者能够物理访问系统,或者通过恶意软件获得系统的访问权限,否则此文件并不危险。
虽然这可能不是一个实际的安全问题,但重视数据隐私安全的用户应该意识到——启用手写识别功能,也就等同于创建了一个巨大的个人隐私数据库,其中包含了系统上所有基于文本的文件。
根据Skeggs的说法,这个文件的默认位置是:
C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
虽然并非所有用户都会将密码存储在计算机上的电子邮件或基于文本的文件中,但ZDNet还是建议广大用户在操作系统的设置面板中禁用手写识别功能,或删除该文件。