Przechowujesz hasła w pliku tekstowym? Windows mógł je skopiować w inne miejsce
Niezbyt popularna funkcja Windowsa może stanowić spore zagrożenie, jeśli jeden z plików wpadnie w niepowołane ręce albo gdy użytkownik chce coś ukryć. W pliku tekstowym mogą być zapisane fragmenty e-maili, innych plików, czasami też wrażliwe informacje albo hasła. Jeśli korzystasz z urządzenia z ekranem dotykowym albo rysikiem, jest spora szansa, że ten plik znajduje się także na twoim komputerze, a różne strzępki informacji są w nim gromadzone odkąd go masz.
Plik o nazwie WaitList.dat można znaleźć na urządzeniach z ekranem dotykowym, jeśli użytkownik uruchomił rozpoznawanie pisma odręcznego, zamieniające narysowane ręcznie kształty na tekst, który można edytować. Funkcja ta działa od Windowsa 8, co oznacza, że plik może znajdować się na czyimś komputerze od kilku lat. Zadaniem tego pliku jest przechowywanie fragmentów tekstu, który będzie wykorzystany podczas ulepszania rozpoznawania pisma i podpowiadania rozpoznanych słów, które są przez użytkownika często używane. Domyślnie znajduje się w położeniu: C:\Users%User%\AppData\Local\Microsoft\InputPersonalization\ TextHarvester\WaitList.dat
Uruchomienie rozpoznawania pisma odręcznego zmienia wartość rejestru, odpowiedzialną za możliwość zbierania fragmentów tekstu, które będą następnie zapisywane w tym pliku. Po przełączeniu może tam się znaleźć tekst nie tylko z każdego pliku, który był edytowany z pomocą pisania odręcznego. Nie będą to nawet pliki, które były otwierane przez użytkownika. Może to być każdy dokument czy e-mail, który został zaindeksowany przez Windows Search. Warto tu przypomnieć, że wyszukiwarka systemowa gromadzi nie tylko metadane, ale też zawartość plików w różnych formatach, obsługiwanych przez wyszukiwarkę. Po usunięciu pliku z dysku fragmenty tekstu wciąż będą znajdować się w WaitList.dat i wcale nie trzeba się starać, by je odzyskać. Gdyby komputer miał być dowodem w dochodzeniu kryminalnym, śledczy mogą w ten sposób uzyskać dowód, że taki plik znajdował się na dysku, nawet jeśli został wielokrotnie nadpisany i nie da się go odzyskać tradycyjnymi metodami.
Plik robi się groźny dla przeciętnego użytkownika, jeśli otrzymuje on hasło e-mailem (taką praktykę wciąż prowadzą niektóre sklepy internetowe i stare fora) lub zapisuje hasła w plikach tekstowych, co wciąż jest niestety popularną praktyką. Ponadto plik może zebrać fragmenty korespondencji, którymi niekoniecznie mamy ochotę dzielić się ze światem, łącznie z danymi osobowymi i adresami. Gdyby cyberprzestępca uzyskał dostęp do systemu, czy to lokalnie, czy przez atak zdalny malware, może wydobyć ten plik i dość szybko zdobyć sporo wrażliwych informacji. Nie musi nawet przeszukiwać dysku, gdyż wspomniany plik znajduje się zwykle w tym samym miejscu na każdym komputerze.
Raport o tym pliku został opublikowany przez Barnaby Skeggsa z Digital Forensics and Incident Response (DFIR). W 2016 roku Skeggs opracował dwie aplikacje do analizy i wydobywania danych z tego pliku. Co ciekawe, istnienie tego pliku było jedną z pilniej strzeżonych tajemnic w DFIR i wśród specjalistów od bezpieczeństwa. Skeggs napisał o tym pliku w 2016 roku, ale ponieważ skupił się tylko na aspektach przydatnych dla śledczych, sprawa nie zyskała rozgłosu. W tym czasie nie kontaktował się z Microsoftem w tej sprawie, gdyż założył, że jest to część bardziej rozbudowanej funkcji i nie jest to luka bezpieczeństwa.
Dopiero umieszczenie WaitList.dat w kontekście naruszenia prywatności przyciągnęła uwagę większej grupy osób. Prawdopodobnie atak na większą skalę nie będzie opłacalny, gdyż nie każdy użytkownik Windowsa korzysta z rozpoznawania pisma odręcznego i jednocześnie przechowuje hasła w plikach tekstowych. Warto jednak wiedzieć, że taka sytuacja może zaistnieć. Jest to też kolejna przestroga przed przechowywaniem haseł w plikach tekstowych.
