Dotyková zařízení s Windows ukládají citlivá data do souboru

Barnaby Skeggs zabývající se mimo jiné informační bezpečností objevil v systémech Microsoftu zajímavý soubor, se kterým pracuje služba Touch Keyboard and Handwriting Panel Service (v české verzi Služba Panelu dotykové klávesnice a rukopisu (děkujeme eldat.eu)). Soubor WaitList.dat může ve Windows 8.1 a 10 sbírat citlivé textové informace, jako je obsah e-mailových zpráv a hesla, aniž by o tom uživatelé věděli. Někdo jiný ale o tom vědět může a pokud bude mít k takovému plaintextovému dokumentu přístup, je to očividně problém. 

 

 

Jde také očividně o problém zařízení s dotykovou obrazovkou, protože daná služba bude spouštěna právě na nich. Zmíněný soubor najdeme v následující složce (lomítka jsou obrácená, aby je náš redakční systém akceptoval):

 

C:/Users/%User%/AppData/Local/Microsoft/InputPersonalization/TextHarvester/WaitList.dat

 

Osobně jsem však zkoušel najít tento soubor na desktopu i na tabletu (oba s Windows 10) a ačkoliv byla výše uvedená služba zapnutá na obou zařízeních, služba TextHarvester nebyla k nalezení

 

Skeggs však tvrdí, že v daném souboru osobně našel plný text i metadata z více než 36.000 e-mailů a dokumentů z posledních třech let a celý soubor měl 140 MB. To se týkalo pošty klienta Outlook a pak souborových tyoů .pdf, .xlsx, .txt, .doc a .docx. 

 

Proč jsem ale já osobně nenašel soubor WaitList.dat? Ten se má vytvořit po zapnutí a využití funkce rozpoznávání psaní a Microsoft zřejmě využívá schraňování všemožných testů pro vylepšení této technologie. Nicméně ani poté se v mém případě na tabletu soubor WaitList.dat nevytvořil (ani po restartu systému), takže je možné, že jde i o otázku použitého sestavení systému. K tomu je ale třeba říci, že tato funkce z nějakého důvodu na zadávání textu pomocí dotykové obrazovky vůbec nereagovala, a tak jsem musel využít v reakci na to připojenou myš.

 

Problém je tedy ten, že pokud v systému tento soubor máte, ten může obsahovat texty, jež sami pokládáte za dávno smazané a především také může obsahovat hesla, pokud je píšete rukou s funkcí pro rozpoznávání textů, což není zrovna doporučeníhodná věc. Microsoft by na to měl reagovat, a to alespoň tak, aby systém průběžně mazal obsah daného souboru. My máme třeba tu možnost deaktivovat celou Službu Panelu dotykové klávesnice a rukopisu v nastavení Služeb systému.