Разделы

ПО Безопасность Бизнес

Windows собирает пароли и переписку пользователя в особый файл

Версии Windows, которые поддерживают распознавание рукописного ввода текста на сенсорном экране, заполняют специальный файл, куда помещают все текстовые документы, хранящаяся на компьютере — включая те, где пользователь записал логины и пароли, а также электронную переписку. Файл может стать ценным источником информации для хакера, атаковавшего устройство.

Файл с паролями

В Windows обнаружен специальный файл WaitList.dat, в который система копирует все текстовые документы, хранящиеся на устройстве и проиндексированные сервисом Windows Search. В WaitList.dat попадают в том числе документы Office, где пользователи могут хранить логины и пароли, а также электронная переписка, в которой может содержаться деликатная информация. Речь идет не о хранении метаданных, а непосредственно о самом тексте.

Схема реализована в тех версиях Windows, где есть возможность работы с сенсорным экраном и стилусом, а с ней и функция распознавания рукописного текста, которая впервые была представлена в Windows 8. Собственно, назначение WaitList.dat — дать возможность системе лучше распознавать и исправлять правописание тех слов, которые пользователь часто употребляет при рукописном вводе.

Что говорит эксперт

О проблеме первым заговорил эксперт в области информационной безопасности Барнаби Скеггс (Barnaby Skeggs), однако пока что его попытки привлечь внимание к ситуации, которые он предпринимает с 2016 г., проходили незамеченными — в основном потому, что он недостаточно четко интерпретировал проблему как угрозу безопасности.

Как сообщил Скеггс изданию ZDNet, чтобы текстовые файлы попали в WaitList.dat, пользователю необязательно их открывать — они должны быть просто сохранены на диске и иметь читаемый Windows Search формат. Эксперт отмечает, что удаление документов не помогает стереть их из WaitList.dat — в файле все равно остаются их фрагменты. По его наблюдениям, WaitList.dat можно использовать для восстановления информации из удаленных документов.

Меры безопасности

WaitList.dat работает таким образом только в том случае, если на устройстве активирована функция распознавания рукописного текста. Сбор данных из документов начинается сразу после ее включения, а если функцию отключить, никакая информация в файл не стекается.

microsoft600x315.jpg
Microsoft снабдила Windows потенциально опасной функцией распознавания рукописного ввода текста

При этом даже если злоумышленники захотят воспользоваться файлом чтобы узнать логины и пароли жертвы, им придется сначала получить физический доступ к компьютеру или заразить его вредоносным ПО. Поиск паролей в файле можно выполнить посредством простых команд PowerShell. Это сэкономит хакеру время — ему не придется проводить поиск по всему диску.

В качестве меры предосторожности Скеггс рекомендует удалить файл WaitList.dat, расположенный по адресу C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Сбор данных в Windows

Это не первый известный случай сбора информации операционной системой Windows — правда, обычно ОС еще и отсылает данные на сервера Microsoft. Например, в той же Windows 8 была обнаружена скрытая функция под названием Windows SmartScreen, отсылающая в Microsoft информацию о каждом приложении, которое пользователь загрузил из интернета, попытался установить или установил в операционной системе.

Самый крупный скандал вокруг сбора данных в Windows разгорелся после запуска Windows 10 в июле 2015 г. Microsoft неоднократно сталкивалась с критикой со стороны обычных пользователей и различных организаций, которым не нравилось, что ОС передает компании телеметрические данные, и отключить это нельзя. В итоге в ноябре 2015 г. компания добавила возможность отключения «слежки», но только для корпоративных клиентов.

Телеметрические данные — это сведения о сбоях, включающие идентификационный номер устройства, тип устройства и информацию о работе приложения или драйвера, в котором произошла ошибка. Телеметрические данные не содержат какие-либо пользовательские файлы или информацию, которая позволяет идентифицировать пользователя, узнать его имя, почтовый адрес и логин в аккаунте Microsoft, уверяет компания.

В обновлении Windows 10 Creators Update, которое вышло в апреле 2017 г., параметры конфиденциальности Windows 10 были изменены — теперь ОС предлагает на выбор два комплекта данных диагностики, которые подлежат сбору, – базовый и полный. Позднее Microsoft заявила, что впервые опубликовала полный список данных, которые входят в базовый набор.

Валерия Шмырова