Die Handschrifterkennung gibt es seit Windows 8 und ist eigentlich eine praktische Funktion: Nutzt man den Touchscreen eines Laptops, um etwa mit einem Stylus-Stift eine Notiz zu schreiben, erkennt Windows automatisch die Handschrift und wandelt das Geschriebene auf Wunsch in formatierten Text um. Damit die Erkennung immer besser wird, sammelt das Programm nicht nur sämtliche Handeingaben und Korrekturen, sondern laut Skeggs auch alle unverschlüsselten Dokumente und Outlook-Mails, die im Suchindex von Windows landen.
Gespeichert wird alles in einer Datei namens „WaitList.dat“, die das Programm auf dem Rechner hinterlegt – und zwar sogar dann noch, wenn die ursprüngliche Datei längst gelöscht wurde. Somit ließen sich relativ einfach längst entsorgte Texte wiederherstellen.
Freie Fahrt für Hacker?
Skeggs machte bereits 2016 in einem wenig beachteten Blogeintrag auf die Architektur aufmerksam, meldete sich aber kürzlich noch einmal auf Twitter zurück mit einem weiteren Problem, dass die WaitList-Datei mit sich bringt:
Red Team Tip: Have a shell on a Windows PC with a touch screen? Search for passwords in Waitlist.dat, a full text index of emails and documents used to improve handwriting recognition.
Powershell command below.
Read my research on Waitlist.dat here:https://t.co/Hk764Wqy4j
— Barnaby Skeggs (@barnabyskeggs) 26. August 2018
Generell ist die Datei harmlos und auch nicht wie verschiedene Experten behaupten eine klassische Sicherheitslücke. Wenn allerdings Hackern Zugriff auf den Rechner – etwa über einen Trojaner – bekommen, könnten sie mit der WaitList ohne größeren Aufwand an Daten wie Passwörter kommen, die alle gesammelt in einer einzigen Datei auftauchen.
Wie werde ich den Spion wieder los?
Betroffen sind theoretisch alle Rechner mit einem Touchscreen ab Windows 8. Allerdings wird die Datei nur erstellt, sofern die Handschrifterkennung aktiviert ist. Empfehlenswert ist also für alle, die den Touchscreen nutzen, die WaitList-Datei regelmäßig zu löschen.
Doch zunächst einmal muss sie gefunden werden, was gar nicht so leicht ist. Geben Sie Folgendes in die Suche (Windows+R drücken) ein:
%localappdata%
und gehen Sie dann in den Ordner „Microsoft“, „InputPersonalization“ und „Text Harvester“
Dort finden Sie die Datei, sofern Sie die Handschrifterkennung überhaupt genutzt haben. Ist der Ordner leer, brauchen Sie sich keine weiteren Gedanken zu machen. Ansonsten können Sie die WaitList einfach löschen.