Windows liest Texte aus Dateien mit aktivierter Handschriftenerkennung auf der Festplatte aus und speichert sie unter WaitList.dat ab. Auch gelöschte Dateien sind so wieder herstellbar.

Die Handschriftenerkennung unter Windows verwandelt per Touchoberfläche oder Eingabestift geschriebene Wörter in formatierten Text. Die Erkennung zu optimieren und Korrekturen vorzuschlagen ist die Idee dahinter. Betroffen sind nicht nur Dateien, die mit der Touchoberfläche bearbeitet wurden, sondern ein Großteil der persönlichen Dateien auf dem Computer. Die Datei bekam breitere Aufmerksamkeit, als der Forensiker Barnaby Skeggs ein interessantes Szenario twitterte: Schadsoftware könnte Passwörter aus der Datei extrahieren, die sonst nirgends auf der Festplatte zu finden wären.

Bereits 2016 wurde die Datei WaitList.dat durch Barnaby Skeggs entdeckt. Dieser fand heraus, dass die Texte aus den unterschiedlichsten Dateien, Dateiformaten und Kontexten in die Datei gelangen. Längst gelöschte Datein befanden sich darunter, die in Textform in der WaitList.dat vorrätig gehalten werden.

Die Surface-Reihe von Microsoft ist beispielsweise davon betroffen. Andere Hersteller mit ähnlichen Produkten sind ebenfalls betroffen. Voraussetzung ist mindestens Windows 8, mit welchem die Handschriftenerkennung eingeführt wurde.

Windows-Nutzer, die die Handschriftenerkennung von Microsoft verwenden und sich Sorgen um deren Inhalt machen, können die Datei löschen. Diese befindet sich unter folgendem Pfad: C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat Alternativ kann der Inhalt mit einem Tool von Barnaby Skeggs betrachtet werden. Der Forensiker hat das Programm auf Github als Python-Skript und .exe-Datei.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE