Een Windows-bestand op touchscreencomputers kan gevoelige informatie bevatten, zoals de inhoud van e-mails en documenten. Daarvoor waarschuwt forensisch expert Barnaby Skeggs. Het gaat om het bestand WaitList.dat wordt aangemaakt op computers met een touchscreen en waar handschriftherkenning staat ingeschakeld. De feature zorgt ervoor dat tekst op het touchscreen naar tekst wordt omgezet.
"Zodra het staat ingeschakeld wordt tekst van elk document en e-mail dat door de Windows Search Indexer service is geïndexeerd in WaitList.dat opgeslagen. Niet alleen de bestanden die via de touchscreen-schrijffeature zijn gebruikt", aldus Skeggs tegenover ZDNet. De expert merkt op dat het niet eens nodig is voor een gebruiker om een ondersteund bestand eerst te openen. Zodra het bestand door de Indexer wordt gevonden en geïndexeerd, verschijnt het in WaitList.dat.
In een tweet stelt Skeggs dat penetratietesters hiervan gebruik kunnen maken om in WaitList.dat naar wachtwoorden te zoeken. Ook kan WaitList.dat worden gebruikt om tekst van verwijderde documenten terug te halen. "Naast het bestaan en de inhoud van een document, bewaart WaitList gedurende de tijd ook verschillende indexes van een enkel document. Dit biedt forensisch onderzoekers de mogelijkheid om verschillende versies van een bestand te bekijken, ook als een shadow copy niet staat ingeschakeld of wanneer het bestand van de harde schijf is verwijderd", aldus Skeggs op zijn eigen blog.
Om misbruik van het WaitList-bestand te maken moet de gebruiker dit eerst zelf hebben ingeschakeld en moet een aanvaller via malware of op fysieke wijze toegang tot de computer hebben. Microsoft zou de functie vanaf Windows 8 aan het besturingssysteem hebben toegevoegd. In maart van dit jaar gaf Skeggs tijdens een beveiligingsconferentie een prestatie over het Windows-bestand. Eerder publiceerde hij ook twee tools voor het analyseren van WaitList.dat.
Deze posting is gelocked. Reageren is niet meer mogelijk.