Windows Phone

Kuriozalna luka w zabezpieczeniach Windows Phone 8.1

Jakub Szczęsny
Kuriozalna luka w zabezpieczeniach Windows Phone 8.1
100

Microsoft zalicza niezwykle kompromitującą wpadkę z zabezpieczeniami w systemowej przeglądarce internetowej - Internet Explorer. Okazuje się, że przy utracie telefonu powinniśmy się liczyć z tym, że nawet jeżeli nasz telefon nie obsługuje płatności zbliżeniowych, a działa pod kontrolą Windows Phone,...

Microsoft zalicza niezwykle kompromitującą wpadkę z zabezpieczeniami w systemowej przeglądarce internetowej - Internet Explorer. Okazuje się, że przy utracie telefonu powinniśmy się liczyć z tym, że nawet jeżeli nasz telefon nie obsługuje płatności zbliżeniowych, a działa pod kontrolą Windows Phone, nasze pieniądze z konta bankowego i tak mogą "uciec" - wystarczy tylko, że logowaliśmy się wcześniej do banku i pozwoliliśmy na zapamiętanie hasła przez przeglądarkę.

Okazuje się, że winien jest mechanizm wyszukiwania zawarty w systemowej przeglądarce. Dzięki integracji Internet Explorera z systemem, współpracuje on z Bing wywoływanym dzięki jednemu z klawiszy nawigacyjnych - Szukaj. Jak to działa? Zaznaczając tekst na stronie i klikając ów przycisk jesteśmy przenoszeni do strony wyszukiwania w Bing - opcja szybka i bardzo przydatna. Jednak, gdy zrobimy to samo z zagwiazdkowanym polem do wprowadzania hasła, kopiując owe gwiazdki i "wyszukując je" w Bing - albo nie powinno być to możliwe, albo wyszukalibyśmy jednolity ciąg znaków. Nic bardziej mylnego - wtedy ujawni się luka w zabezpieczeniach Internet Explorera i Bing wyświetli nam wyniki związane... z hasłem, którym być może logujemy się do banku lub serwisu społecznościowego w przeglądarce.

Oczywiście, luka jest groźna tylko w przypadku, gdy utracimy telefon i mamy zapisane w Internet Explorerze jakiegokolwiek hasła do usług w Internecie. Stąd radzę po pierwsze - nałożyć na telefon blokadę PIN, jeśli tego nie zrobiliście. 6-8 znaków wystarczy, po 5 nieudanych próbach telefon jest blokowany czasowo, podobnie jak urządzenia Apple. Czas ten zwiększa się z każdym kolejnym błędnym logowaniem.

W Ustawieniach Zaawansowanych Internet Explorera (łącze Ustawienia //karta aplikacje// -> Internet Explorer -> "Zaawansowane") należy zdefiniować nieco bardziej bezpieczne zachowanie przeglądarki polegające na tym, iż nie będzie ona w ogóle zapamiętywać haseł podczas przeglądania stron internetowych. Dla pewności usuwamy także całą historię przeglądania, by telefon nie pamiętał dotychczasowych haseł.

Microsoft nie odniósł się jeszcze do tego fatalnego błędu - mamy jednak nadzieję, że stosowna łatka powinna pojawić się w najbliższym czasie.

Podatność testowana na Windows Phone 8.1.1 - Lumia Denim, Nokia Lumia 830

Grafika: 1

Źródło: wmpoweruser.com

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu