Eins der coolsten Features von Windows 8 und aufwärts ist die Möglichkeit, Tablets oder eben auch einen Touchscreen via Finger oder Stylus zu steuern und darauf zu schreiben. Das kann echt praktisch sein! Was hingegen nicht so toll ist, ist dass es deswegen eine Datei auf dem PC gibt, die eventuell jede Menge private Daten gespeichert hat.
Handschrifterkennung ist super – aber es gibt einen Haken
Barnaby Skeggs, ein Experte der digitalen Forensik, hat vor kurzem über eine kleine Datei namens WaitList.dat getweetet. WaitList.dat kann auf Windows 8.1- und Windows 10-Systemen gefunden werden – zumindest wenn man die Handschrifterkennung aktiviert hat. Der Zweck der Datei ist es, Windows dabei zu helfen besagte Erkennung zu verbessern. Das passiert unter anderem durch das Speichern verschiedener Texte in dieser Datei.
Red Team Tip: Have a shell on a Windows PC with a touch screen? Search for passwords in Waitlist.dat, a full text index of emails and documents used to improve handwriting recognition.
Powershell command below.
Read my research on Waitlist.dat here:https://t.co/Hk764Wqy4j
— Barnaby Skeggs (@barnabyskeggs) August 26, 2018
Bisher klingt alles noch ganz gut. Allerdings speichert die WaitList.dat nicht nur handschriftlich angelegte Inhalte – ganz im Gegenteil! Skeggs sagte dazu ZDnet, dass „sobald die Handschrifterkennung eingeschaltet wurde, Texte aus so ziemlich jedem Dokument und jeder Email die vom Windows-Suchindex erfasst werden auch in der WaitList.dat gespeichert werden.“
Problematisch für die Privatsphäre, gefährlich für die Sicherheit
Aber ist das wirklich ein Problem? Es werden ja schließlich nur Dateien erfasst, die sich sowieso bereits auf dem PC befinden. Soweit ist das richtig. Wenn man nun aber eine Datei löscht und den Papierkorb leert, nimmt man an, dass sie auch vom PC verschwunden ist. Mit der WaitList.dat ist das aber nicht der Fall: Der Text bleibt in der Datei erhalten. Das bedeutet, dass selbst gelöschte Dokumente noch ausgelesen beziehungsweise rekonstruiert werden könnten.
Einen besonders üblen Nachgeschmack bekommt das dann, wenn man irgendwann einmal Benutzernamen und Passwörter in einer Textdatei abgelegt hatte. Diese könnten immer noch in der WaitList.dat stehen. Ist der PC dann mit Malware infiziert oder würde gehackt, wäre dies das gefundene Fressen für einen Cybergauner.
So löschen Sie die Datei
Wenn Ihnen das nicht behagt und Sie lieber auf Nummer sicher gehen wollen, können Sie ganz einfach die Handschrifterkennung ausschalten und/oder schauen, ob sich die WaitList.dat auf Ihrem PC befindet, um sie zu löschen. Dazu müssen Sie nur in dieses Verzeichnis gehen, in dem sie sich laut Skeggs normalerweise befinden sollte:
C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
Bitte beachten Sie: Es handelt sich hierbei nicht um eine Windows-Sicherheitslücke sondern um ein Feature. Das bedeutet auch, dass es keinen Patch geben wird.
