È importante che la Universal Windows Platform (UWP) sia aperta agli attacchi di phishing?

2

Alcuni anni fa (poco più di tre ora per la precisione), Ho sollevato quello che considero un problema di sicurezza piuttosto ovvio (e serio) con Universal Windows Platform (UWP) : La possibilità di usare il suo WebAuthenticationBroker per inserire le credenziali di phishing da un'applicazione UWP.

Recentemente ho ripristinato questo problema ed è stato confermato che questo è ancora un problema in UWP . Considererei questo un problema di sicurezza che qualcuno potrebbe sfruttare tramite un attacco di phishing, quindi piuttosto che continuare la discussione li sto portando qui per comprendere meglio la mia percezione intorno ad esso.

Ora non sono affatto un esperto di sicurezza, ma mi piace conoscerlo e ho sempre gli occhi e le orecchie aperti per scenari esattamente come questo. Sono grato per aver scoperto questo sito ed è per questo che sto postando questa domanda qui ora. Se avessi saputo di questo sito a dicembre 2012, quando inizialmente ho postato questa domanda, avrei postato la mia domanda originale qui piuttosto che sui forum MSDN (dove è stata sostanzialmente ignorata e non presa molto sul serio, secondo me). / p>

Detto ciò, la mia comprensione dello sfruttamento di questo processo è la seguente:

  1. Crea una pagina di accesso che assomigli esattamente alla pagina di accesso di Google o Facebook (o al tuo fornitore di servizi di autenticazione di tua scelta). Per i principianti, devi crearlo andando alla pagina di accesso del provider di destinazione e salvando l'origine del file e utilizzandolo come punto di partenza.
  2. Modifica il file fatto nel passaggio precedente in modo che tocchi l'input dell'utente e lo trasmetta al vero fornitore di servizi di autenticazione. Conto per quando le credenziali passano e per quando falliscono.
  3. Trova un server per ospitare il file sopra, distribuisci il file (forse più file, dato che potrebbe coinvolgere la magia lato server) su questo host e ottieni l'URL nella posizione distribuita che carica questo file.
  4. Crea un'applicazione UWP che consente all'utente di accedere a un provider di credenziali supportato tramite WebAuthenticationBroker. Nella chiamata WebAuthenticationBroker.AuthenticateAsync , fornire l'URL alla posizione distribuita nel passaggio precedente.
  5. Distribuire l'applicazione su Windows Store. Chiedi agli utenti di scaricarlo e usarlo (esattamente come? Ecco dove arriva la tua creatività ).
  6. Fai in modo che l'utente acceda alla tua pagina (pensando che si tratti di una posizione credenziale legittima, quella che stai impersonando). Poiché è stato confermato che UWP e WebAuthenticationBroker non visualizzano l'URL / dominio in cui l'utente sta effettuando l'accesso , può essere ovunque sotto il tuo controllo e l'utente non lo sa.
  7. Convalida le credenziali utilizzando il vero provider di autenticazione. Se funziona, passa l'utente alla vera pagina di accesso (o meglio ancora, semplicemente imposta i cookie sulla sessione dell'utente che fa sembrare tutto OK).
  8. Una volta che hai ottenuto credenziali convalidate, memorizza le credenziali per un secondo momento o usale immediatamente per scopi nefandi.
  9. Regola il pianeta Terra con i tuoi nuovi poteri (OK ho inventato questo)

Prima di tutto, vorrei verificare con certezza che la mia comprensione del processo di cui sopra sia accurata (nonostante l'ultimo passaggio, ovviamente - o lo è ?!). C'è qualcosa che non sto rendendo conto che rende questo un non-problema?

Se lo capisco correttamente, sembra che questo sia un possibile problema di sicurezza con UWP e uno che non è stato risolto da più di tre anni. La guida fornita da MSFT CSG consiste nell'aprire un voto UserVoice per questo problema. Tuttavia, mi sembra che un problema di sicurezza sia uno che risolvi e non quello che voterai per indirizzare.

Quindi la mia domanda è: è una preoccupazione legittima? O sto facendo un grosso problema per niente qui? O c'è qualcosa che ho completamente frainteso (abbastanza possibile) che rende questo un non-problema?

Grazie in anticipo per qualsiasi assistenza e / o chiarimento in merito alla mia comprensione di questo problema e alla sicurezza in generale.

    
posta Mike-EEE 02.03.2016 - 18:22
fonte

1 risposta

2

A proposito di nuovi poteri trovati. :)

Ora mi è chiaro dal (grande!) feedback che avrei potuto esprimere in un modo più orientato ai fatti, e che questo problema non sembra essere un grosso problema come lo sto pensando è. Ho cercato di mantenerlo il più obiettivo possibile, ma nel trattare un problema che ha più di tre anni, probabilmente mi sono lasciato prendere più di quanto avrei dovuto (vedi: non manipolato appropriatamente nuovi poteri!).

Mi rendo conto che questo sito non è pensato per essere una cassa di risonanza, ma ci è voluta questa domanda per vederla per quello che era. Apprezzo la tua pazienza mentre imparo qui.

Ho preso il consiglio di MSFT CSG da il thread di riferimento e ha iniziato un voto UserVoice attorno a questo elemento. Se lo desideri, puoi visualizzare e votare questo articolo qui:

< strong> Considerare la visualizzazione di URL / posizione / contesto per utente nell'applicazione UWP durante l'autenticazione

Sono quasi tentato di cancellare questa domanda, ma lascerò che si presenti come una lezione che ricorda la mia ricerca di essere un buon cittadino sia qui che in generale all'interno della comunità più ampia. Grazie ancora a tutti i partecipanti!

    
risposta data 03.03.2016 - 12:29
fonte

Leggi altre domande sui tag