Данные пользователей Windows на ПК с поддержкой сенсорного ввода пишутся в отдельный файл

    image

    Большое количество моделей ноутбуков и all-in-one рабочих станций в наше время имеют поддержку сенсорного ввода. Это сделано для удобства пользователя и ускорения процесса его работы. Но, как оказалось, у компьютерных систем с активированной поддержкой тач-ввода есть одна малоизвестная функция, которая ставит под угрозу данные пользователей таких систем.

    Речь идет об устройствах под управлением операционной системы от Microsoft. Дело в том, что если компьютер с активированным тач-вводом управляется при помощи ОС Windows, то данные пользователя этой системы, включая логины и пароли, собираются в отдельный файл, причем практически в открытом виде. Эта функция работает не на всех подряд Windows-ПК с тач-вводом, а только о тех из них, где включено распознавание рукописного текста.

    Впервые Microsoft добавила такую возможность в свою ОС Windows 8. Проблема в том, что данные, с которыми работает пользователь, сохраняются в отдельный файл, который плохо защищен от внешнего вмешательства. Этот файл называется WaitList.dat, один из экспертов по сетевой безопасности обнаружил, что после активации рукописного ввода файл постоянно обновляется. WaitList.dat генерируется системой сразу же после включения опции распознавания рукописного ввода.

    После этого данные практически любого документа или email, проиндексированных Windows Search, оказываются сохраненными в указанном файле. Стоит подчеркнуть, что речь идет вовсе не о метаданных, а о текстовой информации из документов. Для того, чтобы информация перекочевала в этот файл, пользователю не нужно открывать сообщения электронной почты или doc-файлы. Как только они оказываются проиндексированными службой Windows, все автоматически сохраняется в указанной локации.

    Барнаби Скеггс, специалист по информационной безопасности, который одним из первых обнаружил указанную проблему в Windows, говорит, что файл WaitList.dat на его ПК хранит «выжимку» текста из любого текстового документа или сообщения электронной почты. Причем это справедливо даже в том случае, если исходный файл удален — в WaitList.dat информация продолжает храниться.

    «Если исходный файл удален, его проиндексированные данные продолжают храниться в WaitList.dat», — говорит эксперт. Это, в теории дает широкие возможности злоумышленникам, которые по той либо иной причине решили изучить данные определенных пользователей.

    Стоит отметить, что сама проблема не является секретом. Тот же Скеггс написал о ней впервые в 2016 году, причем его пост получил минимальное внимание технических специалистов. Насколько можно понять, разработчики технологии больше всего беспокоились о DFIR, и меньше — о сетевой безопасности конкретного пользователя. До поры до времени проблему широко не обсуждали.

    В прошлом месяце Скегг пришел к выводу, что злоумышленники могут (теоретически) без проблем красть данные пользователей. Например, если у атакующего есть доступ к атакуемой системе, и ему нужны пароли и логины пользователя взломанного ПК, то ему не нужно искать везде и всюду обрывки логинов и паролей, иметь дело с хэшами и т.п. — нужно лишь проанализировать файл WaitList.dat и получить все необходимые данные.

    Зачем искать информацию по всему диску, тем более, что многие документы могут быть запаролены? Достаточно просто скопировать файл WaitList.dat и дальше заниматься его анализом уже на своей стороне.


    Стоит отметить, что эксперт по сетевой безопасности, обнаруживший проблему, не обращался в Microsoft. Он считает, что это не «баг, а фича», то есть разработчики операционной системы Windows специально спроектировали систему такой, какой она является сейчас. Соответственно, если это не уязвимость, то разработчикам о ней хорошо известно и они могут в любой момент решить проблему.

    По словам Сеггса, расположение файла по умолчанию такое:

    C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

    Если в «Personalised Handwriting Recognition» нет необходимости, то лучшее ее отключить насовсем. В этом случае индексация файлов не приводит к сохранению всех без исключения данных в указанном файле.

    Средняя зарплата в IT

    110 500 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 7 087 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 9

      0
      Довольно спорное решение для индексации, могли бы хоть ради приличия сделать простенькое шифрование файла. Да, это не поможет в борьбе со злоумышленником, зато хоть немного затруднит задачу кражи данных
        +1
        Такие полумеры не помогут против злоумышленника, зато затруднят обнаружение проблемы. Не надо так.
          0
          Это да, но и совсем открытым оставлять файл с критически важной информацией я бы не стал
            0
            Вероятно, информация из этого файла периодически как-то используется, иначе бы не было смысла его создавать. Файл лежит в AppData, значит, работа с ним скорее всего не делегирована привилегированным системным процессам. Тогда процессы пользователя сами периодически должны бы были расшифровывать информацию, и у них легко бы было перехватить ключ. Но даже если бы шифрованием занималась система, выдавая расшифрованную информацию пользовательским процессам по требованию, отличить легитимное считывание от нелегитимного весьма сложно (особенно, если учесть, что там в первую очередь Office, в котором VBA и прочие непотребства). В общем, в простейшем случае такой защиты злоумышленник бы просто считал ключ шифрования из реестра, или где бы он там хранился; а в случае делегирования шифрования системе — запросил бы считывание информации у нее.

            Остается еще вариант, при котором тексты только зашифровываются для отправки в АНБ, а пользователь потом не имеет к ним доступа, но этим вроде бы DiagTrack занимается, а не служба индексирования.
              0
              Я полагаю, это просто список активных слов (популярных/недавних), чтобы в случае плохого почерка добавить веса этим словам для подмены.
        +2
        я тут прифигел от десятки. она вобще в облако по умолчанию
          +1
          Данные пользователей Windows на ПК с поддержкой сенсорного ввода пишутся в отдельный файл


          А пальчики, пальчики пишет, нет? Если нет, то это явная недоработка!
            0
            Сразу вспоминается кейлоггер в драйверах Synaptic на ноутбуках HP.
            А проблемка-то повсеместная…
              0
              Давайте думать только о хорошем. Ну не могут нас обманывать выдавая одно за другое !))))

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое