這個Windows檔案可能會隱秘地收集你的個人隱私

外媒zdnet在週三（9月19日）發表的一篇報道中指出，如果你是觸控筆或觸屏計算機的使用者之一，那麼在你的計算機上很可能存在這樣乙個檔案，它在過去的幾個月甚至幾年時間裡已經隱秘地收集了大量有關於你的敏感資料。

這個檔名為「waitlist.dat」。根據數字取證和事件響應（dfir）專家barnaby skeggs的說法，這個檔案只在那些支援觸控螢幕的windows計算機上被發現，它**於使用者啟用的可以自動將觸控筆/觸屏塗鴉轉換成格式化文字的手寫識別功能。

zdnet在其報道中解釋說，這個功能最初是在windows 8種增加的，這也就意味著waitlist.dat檔案已經存在了許多年。而這個檔案的作用是儲存文字，進而幫助windows優化和改進其手寫識別功能，以便能夠更加精準地識別使用者通過手寫的文字。

「在我的測試中，這個檔案會在你最初進行手寫時生成，並開啟文字採集器功能。」skeggs說，「一旦該功能開啟，windows search索引服務所索引的每乙個文件和電子郵件的文字都會儲存在waitlist.dat中，而不僅僅是通過手寫識別功能轉換的格式化文字。」

由於windows search索引服務支援系統範圍內的windows搜尋功能，這意味著計算機上所有基於文字的檔案（如電子郵件或辦公文件）的資料都將被收集到waitlist.dat檔案中。這不僅包括元資料，還包括實際文件的文字。

skeggs告訴zdnet：「使用者甚至不需要開啟檔案/電子郵件，只要硬碟上有檔案的副本，並且檔案的格式得到windows search索引服務的支援。」

「在我的計算機上，我進行了大量的測試，waitlist.dat幾乎包含了系統上每乙個文件或電子郵件檔案的文字摘錄，即使原始檔已經被刪除。」skeggs補充說。

此外，skeggs還表示，waitlist.dat也可用於從已刪除的文件中恢復文字。

實際上，skeggs遭在2023年就撰寫過一篇關於waitlist.dat檔案的博文，但他的發現幾乎沒有被報道過，主要是因為他最初的分析關注的是數字取證和事件響應方面，而不是該檔案可能引起的隱私問題。

但是上個月，skeggs通過twitter發布了一種可能的攻擊場景。例如，如果攻擊者能夠物理訪問某個系統，或者通過惡意軟體獲得某個系統的訪問許可權，並且他想要收集尚未儲存在瀏覽器資料庫或密碼管理器庫中的密碼，那麼waitlist.dat便提供了一種能夠恢復大量資料的方法。

skeggs說，攻擊者完全可以通過物理訪問或者惡意軟體來輕鬆獲取 waitlist.dat檔案，然後使用簡單的powershell命令來搜尋密碼，而不必把時間浪費在搜尋整個硬碟以找出可能包含密碼的文件上。

skeggs沒有與微軟就他的研究結果進行聯絡，因為他認為這屬於windows作業系統預置功能的一種潛在威脅，而不屬於乙個安全漏洞。除非使用者啟用了手寫識別功能，並且攻擊者能夠物理訪問系統，或者通過惡意軟體獲得系統的訪問許可權，否則此檔案並不危險。

雖然這可能不是乙個實際的安全問題，但重視資料隱私安全的使用者應該意識到——啟用手寫識別功能，也就等同於建立了乙個巨大的個人隱私資料庫，其中包含了系統上所有基於文字的檔案。

根據skeggs的說法，這個檔案的預設位置是：

雖然並非所有使用者都會將密碼儲存在計算機上的電子郵件或基於文字的檔案中，但zdnet還是建議廣大使用者在作業系統的設定面板中禁用手寫識別功能，或刪除該檔案。