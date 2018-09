Als je over een Windows-computer met aanraakscherm beschikt, dan is de kans groot dat je apparaat de afgelopen maanden of zelfs jaren gevoelige gegevens heeft verzameld. Daaronder bevinden zich onder meer wachtwoorden en zelfs complete e-mails.

Dat stelt veiligheidsonderzoeker Barnaby Skeggs van Digital Forensics and Incident Response (DFIR) vandaag. Het gaat om een bestand met de naam WaitList.dat, dat enkel te vinden valt op Windows-apparaten die een aanraakscherm hebben en waarvan de gebruiker handschriftherkenning ingeschakeld heeft. Dat vertaalt met de hand geschreven teksten automatisch naar getypte tekst.

Alles indexeren

De functie werd in Windows 8 uitgebracht, wat betekent dat het WaitList.dat-bestand al enige jaren op apparaten staat. Hierin wordt tekst opgeslagen, zodat Windows steeds beter wordt in het herkennen van handgeschreven teksten. Daarnaast wordt de functie zo beter in het bieden van suggesties voor woorden die een gebruiker vaker dan andere woorden gebruikt.

Zodra de functie ingeschakeld staat, wordt elk document en elke e-mail die geïndexeerd is door de Windows Search Indexer-dienst opgeslagen in WaitList.dat. Het gaat dan niet alleen om bestanden waarmee een gebruiker van de aanraakfunctie interactie heeft gehad, maar om alles op een apparaat.

Volgens Skeggs staat de functie niet standaard ingeschakeld. WaitList.dat verzamelt pas informatie op het moment dat iemand gebruik begint te maken van de handschriftherkenning. “Dat zet de ‘schakelaar’ (registersleutel) om naar tekstverzameling”, aldus Skeggs. Vanaf dat moment wordt er dus een boel data verzameld, waaronder gevoelige gegevens.

Herstellen verwijderde gegevens

Doordat WaitList.dat gebruik maakt van de Windows Search Indexer, die het complete Windows Search-systeem mogelijk maakt, betekent dit dat alle tekstdocumenten op een computer daar verzameld worden. Het gaat niet alleen om metadata, maar ook om de daadwerkelijke tekst van documenten.

Zelfs als het bronbestand verwijderd is, blijkt WaitList.dat gegevens te bewaren. “Op mijn computer, en zelfs op veel van mijn tests, bleek WaitList.dat een tekstextract van elk document of e-mailbestand op het systeem te bevatten, zelfs als het bronbestand verwijderd is”, schrijft Skeggs verder. Opvallend genoeg zou het bestand gebruikt kunnen worden om de tekst uit verwijderde documenten te herstellen.

Microsoft is niet benaderd over deze bevindingen. Dat deed Skeggs naar eigen zeggen niet omdat het een bewuste functionaliteit binnen Windows is en geen kwetsbaarheid. Toch maakt het apparaten wel kwetsbaar, want een hacker zou zo eenvoudig en snel veel data kunnen verzamelen.