image

Windows-bestand op touchscreen-pc's kan gevoelige data bevatten

woensdag 19 september 2018, 11:26 door Redactie, 2 reacties

Een Windows-bestand op touchscreencomputers kan gevoelige informatie bevatten, zoals de inhoud van e-mails en documenten. Daarvoor waarschuwt forensisch expert Barnaby Skeggs. Het gaat om het bestand WaitList.dat wordt aangemaakt op computers met een touchscreen en waar handschriftherkenning staat ingeschakeld. De feature zorgt ervoor dat tekst op het touchscreen naar tekst wordt omgezet.

"Zodra het staat ingeschakeld wordt tekst van elk document en e-mail dat door de Windows Search Indexer service is geïndexeerd in WaitList.dat opgeslagen. Niet alleen de bestanden die via de touchscreen-schrijffeature zijn gebruikt", aldus Skeggs tegenover ZDNet. De expert merkt op dat het niet eens nodig is voor een gebruiker om een ondersteund bestand eerst te openen. Zodra het bestand door de Indexer wordt gevonden en geïndexeerd, verschijnt het in WaitList.dat.

In een tweet stelt Skeggs dat penetratietesters hiervan gebruik kunnen maken om in WaitList.dat naar wachtwoorden te zoeken. Ook kan WaitList.dat worden gebruikt om tekst van verwijderde documenten terug te halen. "Naast het bestaan en de inhoud van een document, bewaart WaitList gedurende de tijd ook verschillende indexes van een enkel document. Dit biedt forensisch onderzoekers de mogelijkheid om verschillende versies van een bestand te bekijken, ook als een shadow copy niet staat ingeschakeld of wanneer het bestand van de harde schijf is verwijderd", aldus Skeggs op zijn eigen blog.

Om misbruik van het WaitList-bestand te maken moet de gebruiker dit eerst zelf hebben ingeschakeld en moet een aanvaller via malware of op fysieke wijze toegang tot de computer hebben. Microsoft zou de functie vanaf Windows 8 aan het besturingssysteem hebben toegevoegd. In maart van dit jaar gaf Skeggs tijdens een beveiligingsconferentie een prestatie over het Windows-bestand. Eerder publiceerde hij ook twee tools voor het analyseren van WaitList.dat.

Image

Reacties (2)
19-09-2018, 22:46 door [Account Verwijderd]
Ik heb een aantal laptops en computers die Windows 7 en 10 hebben (in een multiboot-omgeving, dus ik gebruik het zelden), maar één van de eerste dingen die ik uitschakel na een verse Windows-installatie is de Windows Search Indexer. Dit onding staat namelijk constant een aanslag te plegen op je harde schijf (constant een actieve harde schijf), en bovendien is het ook nog eens behoorlijk irritant dat als je een verwijderbaar medium hebt aangekoppeld, deze indexer soms verhindert dat je het los kan koppelen omdát het weer eens aan het rondsnuffelen is.

Nu ik dit lees was dat een wijs besluit (ook al hebben ze het hier over touchscreen-PC's).
25-09-2018, 15:47 door Anoniem
Ik ook nooit last van gehad omdat ik standaard op al mijn systemen (en die van anderen ook die ik in handen krijg ;-) die vervelende Windows Search Indexer service uitzet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.