外媒ZDNet在周三（9月19日）發表的一篇報道中指出，如果你是觸控筆或觸屏計算機的用戶之一，那麼在你的計算機上很可能存在這樣一個文件，它在過去的幾個月甚至幾年時間裡已經隐秘地收集了大量有關于你的敏感數據。

這個文件名為“WaitList.dat”。根據數字取證和事件響應（DFIR）專家Barnaby Skeggs的說法，這個文件隻在那些支持觸摸屏的Windows計算機上被發現，它來源于用戶啟用的可以自動将觸控筆/觸屏塗鴉轉換成格式化文本的手寫識别功能。

ZDNet在其報道中解釋說，這個功能最初是在Windows 8種增加的，這也就意味着WaitList.dat文件已經存在了許多年。而這個文件的作用是存儲文本，進而幫助Windows優化和改進其手寫識别功能，以便能夠更加精準地識别用戶通過手寫的文字。

“在我的測試中，這個文件會在你最初進行手寫時生成，并開啟文本采集器功能。”Skeggs說，“一旦該功能開啟，Windows Search索引服務所索引的每一個文檔和電子郵件的文本都會存儲在WaitList.dat中，而不僅僅是通過手寫識别功能轉換的格式化文本。”

由于Windows Search索引服務支持系統範圍内的Windows搜索功能，這意味着計算機上所有基于文本的文件（如電子郵件或辦公文檔）的數據都将被收集到WaitList.dat文件中。這不僅包括元數據，還包括實際文檔的文本。

Skeggs告訴ZDNet：“用戶甚至不需要打開文件/電子郵件，隻要硬盤上有文件的副本，并且文件的格式得到Windows Search索引服務的支持。”

“在我的計算機上，我進行了大量的測試，WaitList.dat幾乎包含了系統上每一個文檔或電子郵件文件的文本摘錄，即使源文件已經被删除。”Skeggs補充說。

此外，Skeggs還表示，WaitList.dat也可用于從已删除的文檔中恢複文本。

實際上，Skeggs遭在2016年就撰寫過一篇關于WaitList.dat文件的博文，但他的發現幾乎沒有被報道過，主要是因為他最初的分析關注的是數字取證和事件響應方面，而不是該文件可能引起的隐私問題。

但是上個月，Skeggs通過Twitter發布了一種可能的攻擊場景。例如，如果攻擊者能夠物理訪問某個系統，或者通過惡意軟件獲得某個系統的訪問權限，并且他想要收集尚未存儲在浏覽器數據庫或密碼管理器庫中的密碼，那麼WaitList.dat便提供了一種能夠恢複大量數據的方法。

Skeggs說，攻擊者完全可以通過物理訪問或者惡意軟件來輕松獲取 WaitList.dat文件，然後使用簡單的PowerShell命令來搜索密碼，而不必把時間浪費在搜索整個硬盤以找出可能包含密碼的文檔上。

Skeggs沒有與微軟就他的研究結果進行聯系，因為他認為這屬于Windows操作系統預置功能的一種潛在威脅，而不屬于一個安全漏洞。除非用戶啟用了手寫識别功能，并且攻擊者能夠物理訪問系統，或者通過惡意軟件獲得系統的訪問權限，否則此文件并不危險。

雖然這可能不是一個實際的安全問題，但重視數據隐私安全的用戶應該意識到——啟用手寫識别功能，也就等同于創建了一個巨大的個人隐私數據庫，其中包含了系統上所有基于文本的文件。

根據Skeggs的說法，這個文件的默認位置是：

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

雖然并非所有用戶都會将密碼存儲在計算機上的電子郵件或基于文本的文件中，但ZDNet還是建議廣大用戶在操作系統的設置面闆中禁用手寫識别功能，或删除該文件。

本文由 黑客視界 綜合網絡整理，圖片源自網絡；轉載請注明“轉自黑客視界”，并附上鍊接。