У Windows виявлено спеціальний файл WaitList.dat, який система копіює всі текстові документи
У Windows виявлено спеціальний файл WaitList.dat, до якого система копіює всі текстові документи
У Windows виявлено спеціальний файл WaitList.dat, в який система копіює всі текстові документи, що зберігаються на пристрої та проіндексовані сервісом Windows Search. У WaitList.dat потрапляють у тому числі документи Office, де користувачі можуть зберігати логіни та паролі, а також електронне листування, в якому може бути делікатна інформація. Йдеться не про зберігання метаданих, а безпосередньо про сам текст.
Схема реалізована в тих версіях Windows, де є можливість роботи з сенсорним екраном і стілусом, а з нею і функція розпізнавання рукописного тексту, яка вперше була представлена в Windows 8. Власне, призначення WaitList.dat — дати можливість системі краще розпізнавати виправляти правопис тих слів, які користувач часто вживає під час рукописного введення.
Що говорить експерт
Про проблему першим заговорив експерт у галузі інформаційної безпеки Барнабі Скеггс (Barnaby Skeggs), проте поки що його спроби привернути увагу до ситуації, яку він робить з 2016 р., проходили непоміченими — переважно тому , що він недостатньо чітко інтерпретував проблему як загрозу безпеці.
Як повідомив Скеггс виданню ZDNet, щоб текстові файли потрапили у WaitList.dat, користувачеві необов'язково їх відкривати - вони повинні бути просто збережені на диску і мати формат формату, що читається Windows Search. Експерт зазначає, що видалення документів не допомагає стерти їх із WaitList.dat — у файлі все одно залишаються їх фрагменти. За його спостереженнями, WaitList.dat можна використовувати для відновлення інформації з віддалених документів.
Заходи безпеки
WaitList.dat працює таким чином лише в тому випадку, якщо на пристрої активовано функцію розпізнавання рукописного тексту. Збір даних із документів починається відразу після її включення, а якщо функцію вимкнути, жодна інформація у файл не стікається.
При цьому навіть якщо зловмисники захочуть скористатися файлом, щоб дізнатися логіни та паролі жертви, їм доведеться спочатку отримати фізичний доступ до комп'ютера або заразити його шкідливим ПЗ. Пошук паролів у файлі можна виконати за допомогою простих команд PowerShell. Це заощадить хакеру час — йому не доведеться шукати по всьому диску.
В якості запобіжного заходу Скеггс рекомендує видалити файл WaitList.dat, розташований за адресою C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
Збір даних у Windows
Це не перший відомий випадок збирання інформації операційною системою Windows — правда, зазвичай ОС ще й надсилає дані на сервери Microsoft. Наприклад, у тій же Windows 8 була виявлена прихована функція під назвою Windows SmartScreen, яка надсилає в Microsoft інформацію про кожну програму, яку користувач завантажив з інтернету, спробував встановити або встановив в операційній системі.
Найбільший скандал навколо збору даних у Windows спалахнув після запуску Windows 10 у липні 2015 р. Microsoft неодноразово стикалася з критикою з боку звичайних користувачів та різних організацій, яким не подобалося, що ОС передає компанії телеметричні дані, і відключити це не можна. У результаті в листопаді 2015 р. компанія додала можливість відключення «стеження», але лише для корпоративних клієнтів.
Телеметричні дані — це відомості про помилки, які включають ідентифікаційний номер пристрою, тип пристрою та інформацію про роботу програми або драйвера, в якому виникла помилка. Телеметричні дані не містять будь-які файли користувача або інформацію, яка дозволяє ідентифікувати користувача, дізнатися його ім'я, поштову адресу та логін в обліковому записі Microsoft, запевняє компанія.
В оновленні Windows 10 Creators Update, яке вийшло у квітні 2017 р., параметри конфіденційності Windows 10 були змінені — тепер ОС пропонує на вибір два комплекти даних діагностики, що підлягають збору, – базовий та повний. Пізніше Microsoft заявила, що вперше опублікувала повний список даних, що входять до базового набору.
