IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Безопасность (http://www.imho.ws/forumdisplay.php?f=19)
-   -   Малоизвестная функция в Windows ставит под угрозу конфиденциальность данных (http://www.imho.ws/showthread.php?t=148557)

Borland 21.09.2018 01:09

Малоизвестная функция в Windows ставит под угрозу конфиденциальность данных
 
Файл WaitList.dat собирает текст из всех документов, проиндексированных индексатором службы Microsoft Windows Search.

Специалист в области компьютерной криминалистики Барнаби Скеггс (Barnaby Skeggs) обратил внимание на одну из функций в ОС Windows, которая может представлять угрозу конфиденциальности данных. В частности, проблема затрагивает владельцев устройств на базе версий Windows с поддержкой сенсорного экрана, где включена функция распознавания рукописного текста (впервые появилась в Windows 8).

Речь идет о файле WaitList.dat, который призван улучшить работу функционала. С помощью данного файла система распознает текст и предлагает правки слов, используемых чаще всего. Проблема заключается в том, что при активации функции распознавания WaitList.dat собирает текст из всех документов (файлы Office, электронные письма и т.д.), проиндексированных индексатором службы Microsoft Windows Search.

Пользователю даже не нужно открывать файл или электронное сообщение, достаточно того, что они сохранены на диске, а формат файла поддерживается индексатором, пояснил Скеггс в интервью изданию ZDNet. В большинстве случаев, с которыми сталкивался эксперт, файл WaitList.dat содержал фрагмент текста из каждого документа или электронного письма, даже если исходные файлы уже были удалены. В 2016 году специалист уже пытался привлечь внимание общественности к проблеме, однако тогда его сообщение прошло практически незамеченным.

Скеггс привел несколько сценариев эксплуатации данной функции злоумышленниками. К примеру, если у атакующего есть доступ к целевой системе, WaitList.dat предоставляет альтернативный способ сбора паролей и иной конфиденциальной информации.

WaitList.dat не представляет опасности, если функция распознавания рукописного текста не включена, но даже если она активирована, для использования файла в своих целях злоумышленнику потребуется инфицировать систему вредоносным ПО или получить к ней физический доступ.

Согласно Скеггсу, данный файл расположен в каталоге
Код:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.

Источник: https://www.securitylab.ru/news/495637.php


Часовой пояс GMT +4, время: 15:15.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.