Gebruikers van Windows-hardware met touchscreen lopen risico dat gevoelige informatie zoals wachtwoorden en e-mails al maanden of jaren als plaintext bewaard wordt in een bestand op hun computer. Dat brengt forensisch expert Barnaby Skeggs aan het licht.
Skeggs ontdekte een WaitList.dat-bestand op touchscreen-pc’s waarop de functie voor handschriftherkenning is ingeschakeld. Die feature vertaalt kribbels met een stylus of vinger naar geformatteerde tekst. Windows gebruikt het WaitList.dat-bestand om de handschriftherkenning te verbeteren en woorden te suggereren die vaker worden gebruikt an andere.
De handschriftherkenning werd door Microsoft toegevoegd in Windows 8, wat betekent dat ook het WaitList.dat-bestand al jaren aanwezig is in het besturingssysteem. Skeggs stelde vast dat het bestand wordt geactiveerd van zodra je de handschriftfunctionaliteit begint te gebruiken.
“Als het eenmaal is ingeschakeld, wordt tekst uit elk document en elke e-mail die is geïndexeerd door de Windows Search Indexer, opgeslagen in WaitList.dat. Niet alleen de bestanden die werden gebruikt via de touchscreen-schrijffunctie”, legt Skeggs uit aan ZDNet.
Zoekindex
Windows Search Indexer is de motor achter de systeemzoekfunctie van Windows, wat betekent dat gegevens van alle tekstbestanden op een computer – zoals e-mails of Office-documenten – in het bestand worden verzameld. Het gaat dan niet alleen over metagegevens, maar ook over de daadwerkelijke inhoud van de documenten. Dat betekent dat gevoelige informatie of accountgegevens allemaal in het bestand kunnen terechtkomen.
De gebruiker hoeft het document zelfs niet te openen, benadrukt Skeggs. Zolang het bestand op de harde schijf wordt bewaard en kan worden geïndexeerd door Windows Search Indexer, verschijnt de inhoud in WaitList.dat. “Op mijn pc, en in vele testcases, bevatte WaitList.dat een tekstuitreksel van elk document en e-mailbestand op het systeem, zelfs als het bronbestand sindsdien was verwijderd”, voegt de forensisch expert daar nog aan toe.
Dat laatste betekent dat WaitList.dat in principe ook kan worden gebruikt om tekst uit verwijderde documenten opnieuw op te vissen. “Als het bronbestand wordt verwijderd, blijft de index in WaitList.dat, met behoud van een tekstindex van het bestand”, legt Skeggs uit. Voor forensisch experts zoals hemzelf biedt het bestand waardevolle informatie om aan te tonen dat een bestand ooit op een pc heeft bestaan.
Geen bug, maar functie
Skeggs erkent dat het niet om een kwetsbaarheid gaat, maar over een functie die werkt zoals bedoeld. Hij waarschuwt wel voor de eventuele privacygevolgen. Een aanvaller die fysiek of via malware toegang krijgt tot het systeem, heeft zo een nieuwe manier om snel informatie te ontfutselen.
De aanvaller hoeft alleen maar het WaitList.dat-bestand te kopiëren om toegang te krijgen tot de inhoud van alle tekstbestanden die ooit op het systeem werden bewaard. Via PowerShell-commando’s kan het bestand snel worden doorzocht naar documenten die wachtwoorden of andere gevoelige informatie bevatten.