Los datos confidenciales de usuarios de dispositivos de Windows compatibles con lápiz óptico u ordenadores con pantalla táctil, podrían haber sido almacenados en secreto por un archivo del sistema operativo durante los últimos meses o años.
El nombre de este archivo es WaitList.dat, y su presencia radica en las PC con Windows con funciones táctiles, en las cuales los usuarios tienen activa la función de ‘reconocimiento de escritura a mano’, que traduce de manera automática lo que el usuario escribe tocando la pantalla y lo convierte en un formato de texto.
Esta característica existe desde la incursión de Windows 8, lo que quiere decir que el error existe desde hace algunos años. En concreto, la característica almacena el texto para permitir a Windows mejorar la función de reconocimiento de escritura táctil, y de esta manera sugerir correcciones en palabras que los usuarios utilicen de manera frecuente.
Barnaby Skeggs, experto en seguridad informática de la firma Digital Forensic and Incident Response (DFIR), la función de recolección de datos se activa una vez que el usuario comienza a utilizar los gestos de escritura táctil. En este sentido, cuando la función está encendida, el texto de todos los documentos y correos electrónicos escritos de forma táctil se almacenan en el archivo WaitList.dat.
PowerShell command:
Stop-Process -name "SearchIndexer" -force;Start-Sleep -m 500;Select-String -Path $env:USERPROFILEAppDataLocalMicrosoftInputPersonalizationTextHarvesterWaitList.dat -Encoding unicode -Pattern "password"
— Barnaby Skeggs (@barnabyskeggs) August 26, 2018
Skeggs aseguró además que no importa si el usuario no abre el correo electrónico o archivo, ya que si existe una copia del mismo en el disco, serán recopilados todos los datos dentro del archivo WaitList.dat a través de la función Microsoft Search Indexer.
En 2016 ya Skeggs había escrito un análisis sobre esta característica, sin embargo, recibió poca atención mediática debido a que su análisis no se centraba en los aspectos inherentes en la privacidad, un tema que parece dar la hora hoy en día. Ahora, en el caso de que un hacker acceda a un ordenador a través de malware, no tiene que ahondar mucho dentro del sistema si desea las contraseñas o datos de correo: simplemente deberá buscar en el archivo WaitList.dat.
Para evitar este tipo de ataques, el investigador recomienda acceder a la ubicación directa del archivo en ‘C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\ WaitList.dat’, y posteriormente eliminarlo.