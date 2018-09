Zodra de feature is ingeschakeld begint Windows met het verzamelen van toetsaanslagen en slaat deze op in het bestand waitlist.dat. Microsoft gebruikt dit bestand om woorden te voorspellen. Dit bestand wordt echter onversleuteld opgeslagen. Skeggs ontdekte dat het bestand alle teksten bevatte van e-mails en documenten die hij op z'n systeem heeft bekeken of gemaakt, "Niet alleen de bestanden die via de touchscreen-functie zijn gemaakt of geopend.

De gebruiker hoeft de bestanden of e-mails niet eens te openen. Zolang er een kopie van het bestand op de schijf staat en het bestandsformaat wordt ondersteund door de Microsoft Search Indexer service," zegt Skeggs in een interview met ZDNet.

Oud probleem

De beveiligingsonderzoeker heeft dit probleem al twee jaar eerder aangekaart en daar een blogpost aan gewijd, maar dat kreeg destijds weinig aandacht.

Vorige maand gooide Skeggs er een tweet uit waarin hij een "tip" gaf hoe het bestand gebruikt kon worden om wachtwoorden en andere gevoelige informatie te achterhalen.

Omdat de data onversleuteld wordt opgeslagen, is het zeer makkelijk voor malware om het bestand te kopiëren of door te ploegen op zoek naar wachtwoorden. De onderzoeker heeft, als proof of concept twee applicaties uitgebracht waarmee het bestand kan worden geanalyseerd en teksten makkelijk kunnen worden geëxtraheerd. De eerste applicatie heeft wlrip en de tweede wlripEXE.

Het gewraakte bestand is te vinden op de volgende locatie: C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\waitList.dat

Deze manier van dataverzameling wordt al gedaan sinds Windows 8 en wellicht ook in oudere versies van Windows, dit is nog niet getest door de onderzoeker.

Workaround

Het bestand kan gewoon worden gewist. De handschriftherkenning-feature moet wel worden uitgeschakeld om te voorkomen dat het systeem direct opnieuw begint met verzamelen.

Het is niet bekend of er al malware is die misbruik maakt van deze feature en/of het bestand uitleest. Ook is er geen bewijs dat deze informatie wordt verstuurd naar Microsoft.