Reading Time: 3 minutes

Um recurso pouco conhecido do Windows pode criar um ficheiro que armazena texto-limpo extraído de todos os e-mails e texto, e que às vezes até podem revelar palavras-passe ou conversas privadas.

Se utiliza um computador touch, há uma grande chance de existir um ficheiro no seu computador que tenha registado dados confidenciais nos últimos meses ou mesmo anos.

Esse ficheiro  é denominado por WaitList.dat, de acordo com Barnaby Skeggs, analista forense e incidente reponser. Esse ficheiro é encontrado  em PCs Windows, com tela sensível ao toque onde o utilizador ativou o recurso de reconhecimento de escrita [1, 2] e que traduz os rabiscos da caneta / tela sensível ao toque, em texto formatado.

Este recurso de conversão de texto manuscrito foi adicionado ao SO Windows 8, o que significa que o ficheiro WaitList.dat já existe há alguns anos.

O objetivo deste ficheiro é guardar o texto “desenhado” pelo utilizador de forma a permitir ao Windows melhorar a funcionalidade, a fim de reconhecer e sugerir correções ou palavras que o utilizador está a usar com maior frequência.

img_58bdfbbeb27b1

 

“In my testing, population of WaitList.dat commences after you begin using handwriting gestures,” Skeggs told ZDNet in an interview. “This ‘flicks the switch’ (registry key) to turn the text harvester functionality (which generates WaitList.dat) on.”

“Once it is on, text from every document and email which is indexed by the Windows Search Indexer service is stored in WaitList.dat. Not just the files interacted via the touchscreen writing feature,” Skeggs says.

 

Como o serviço Windows Search Indexer fornece a funcionalidade de search em todo o sistema, isso significa que os dados de todos os ficheiros baseados em texto e encontrados no computador, como emails ou documentos do Office, são compilador no ficheiro WaitList.dat. Este ficheiro não inclui apenas metadados, mas texto real presente nos documentos (plain-text).

“The user doesn’t even have to open the file/email, so long as there is a copy of the file on disk, and the file’s format is supported by the Microsoft Search Indexer service,” Skeggs told ZDNet.

“On my PC, and in my many test cases, WaitList.dat contained a text extract of every document or email file on the system, even if the source file had since been deleted,” the researcher added.

 

Além disso, Skeggs diz que o ficheiro WaitList.dat pode ser usado para recuperar texto de documentos já excluídos do sistema operativo, e isso pode fornecer informação a um analista forense de que “determinado ficheiro” já existiu num computador.

“If the source file is deleted, the index remains in WaitList.dat, preserving a text index of the file,” he says.

 

A técnica e a existência desse ficheiro tem sido um dos segredos mais bem guardados no mundo dos especialistas em forense e infosec. Skeggs escreveu um post no seu blog sobre o arquivo WaitList.dat em 2016, mas a descoberta recebeu pouca cobertura porque ele focou-se pouco na privacidade relativa a esse ficheiro.

No entanto,  no mês passado, Skeggs tweetou sobre um cenário bastante interessante. Por exemplo, se um atacante tiver acesso a um sistema ou tiver infetado esse sistema com malware e precisar de recolher passwords que não foram armazenadas em BDs locais de browsers web nem em softwares de gestão de passwords, o WaitList.dat pode fornecer um método alternativo para recuperar um grande número. de passwords de uma só vez.

Skeggs disse que, em vez de procurar em todo o disco por documentos que podem conter passwords, um agente de ameaça pode facilmente aceder ao ficheiro WaitList.dat e procurar por passwords usando comandos básicos do PowerShell do Windows.

 

Skeggs não entrou em contacto com a Microsoft e não reportou as suas descobertas, pois ele próprio reconheceu que isso fazia parte de uma funcionalidade pretendida no sistema operativo Windows, e não de uma vulnerabilidade.

A localização padrão deste ficheiro é a seguinte:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

 

Nem todos os utilizadores podem ter passwors, emails, ou dados sensíveis registados nesse ficheiro, no entanto é aconselhado a excluir o ficheiro do computador ou a desativar o recurso no painel de configurações do Windows.