Kaum zu glauben, aber wahr: Es gibt ein kaum bekanntes Windows-Feature, das ein ziemlich neugieriges File kreiert. WaitList.dat extrahiert Textteile aus deinen E-Mails und Plaintext-Files, die er auf deinem PC findet. Dabei kann es natürlich vorkommen, dass Passwörter oder private Konversationen enthüllt werden …
Wenn du einen Stylus oder Touchscreen-Windows-PC besitzt, sind die Chancen für dieses geheime Datensammel-Phänomen leider groß. Und zwar nicht erst seit ein paar Tagen, sondern seit Monaten oder gar Jahren – je nachdem, wie lange du deinen PC schon in Verwendung hast. Besagtes File heißt WaitList.dat und glaubt man dem DFIR-Experten Barnaby Skeggs befindet es sich eben nur auf Touchscreen Windows PCs, bei denen der User das Feature zur Handschriftenerkennung aktiviert hat, das Touchscreen-Scribbles automatisch in formatierten Text umwandelt.
Inhaltsverzeichnis
Bereits seit Windows 8 aktiv
Dieses Tool wurde in Windows 8 inkludiert, was bedeutet, dass das WaitList.dat File seit Jahren aktiv ist. Das File hat natürlich auch seinen Sinn: Es soll Texte speichern, um Windows dabei zu helfen, die Handschriftenerkennung zu verbessern. So soll das Feature erkennen, welche Wörter ein User öfter als andere benutzt und diese dann vorschlagen.
„In meinem Test hat WaitList.dat gestartet, nachdem ich damit begonnen habe, Handschriften-Gesten zu machen,“ erzählt Skeggs ZDNet. „Wenn es erst einmal aktiviert ist, wird Text von jedem Dokument und E-Mail, das vom Windows-Suchindex indiziert wird, in WaitList.dat gespeichert. Dies betrifft also nicht nur die Files, welche mit dem Touchscreen Schrift-Feature interagieren.“
Daten aller textbasierten Files am PC werden gespeichert
Nachdem der Windows-Suchindex die gesamte Windows-Suchfunktionalität steuert, werden tatsächlich Daten von allen textbasierten Files, die am Computer gefunden werden (z. B. E-Mails oder Office-Dokumente), im WaitList.dat-File gespeichert. Und zwar der echte Text, nicht nur Metadaten. „Der User muss das File oder E-Mail nicht einmal öffnen, sofern eine Kopie des Files auf der Festplatte ist und das Format vom Microsoft-Suchindex unterstützt wird,“ so Skeggs zu ZDNet. Auf dem PC des Forschers und in vielen anderen Testfällen enthielt WaitList.dat einen Textauszug von jedem Dokument oder E-Mail im System – sogar dann, wenn das Quellen-File bereits gelöscht war. WaitList.dat könne auch dazu genutzt werden, Text aus gelöschten Dokumenten wiederherzustellen. Diese Möglichkeit beschert Analysten unumgängliche Beweise, dass ein File und seine Inhalte auf einem PC existiert haben.
Gefundenes Fressen für Hacker – Risiko für Privatsphäre der User
Die Technik und die Existenz dieses Files waren bis jetzt ein wohl gehütetes Geheimnis. Skeggs hat davon schon 2016 in einem Blogpost berichtet, richtete sein Interesse dabei aber auf DSFIR-Aspekte. Die Auswirkungen, die das File auf die Privatsphäre der User haben könnte, waren kein Thema. Als Skeggs aber letztes Monat über ein interessantes Szenario tweetete, änderte sich die Situation: Wenn beispielsweise ein Angreife sich Zugang zu einem System verschafft oder es mit Malware infiziert und Passwörter abgreifen möchte, die nicht in Browser-Datenbanken oder Passwortmanagern gespeichert wurden, bietet WaitList.dat eine alternative Methode, eine große Anzahl an Passwörtern in einem einzigen schnellen Aufwasch abzugreifen. Skeggs gibt an, dass man nicht mehr die ganze Festplatte nach Dokumenten durchsuchen muss, die Passwörter enthalten könnten. Ein Angreifer wäre also in der glücklichen Lage, sich ganz einfach die WaitList.dat zu schnappen und durch einfache PowerShell-Befehle nach Passwörtern zu durchsuchen.
Der Forscher hat Microsoft nicht verständigt, da es sich bei seiner Entdeckung ja um eine gewünschte Funktionalität von Windows handelt und nicht um eine Sicherheitslücke. Das File ist nicht gefährlich, solange die User nicht das Handschriftenerkennungs-Feature aktivieren. Und dann muss sich erst ein Hacker mit dem System befassen – entweder durch physischen Zugang oder durch Malware.
Am besten Handschriftenerkennung deaktivieren
Auch wenn das File kein akutes Sicherheitsrisiko sein mag, wenn du deine Privatsphäre schätzt, solltest du dir das Aktivieren der Handschriftenerkennung lieber zwei Mal überlegen. Denn sonst legst du eine wunderbare, in einem einzigen File gebündelte Sammlung all deiner Passwörter u. a. an. Laut Forscher Skeggs kannst du die Funktion hier deaktivieren: C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
Quelle: ZDNet.com
Erstellt am: 22. September 2018
