100

Kuriozalna luka w zabezpieczeniach Windows Phone 8.1

smartfon microsoft
Microsoft zalicza niezwykle kompromitującą wpadkę z zabezpieczeniami w systemowej przeglądarce internetowej – Internet Explorer. Okazuje się, że przy utracie telefonu powinniśmy się liczyć z tym, że nawet jeżeli nasz telefon nie obsługuje płatności zbliżeniowych, a działa pod kontrolą Windows Phone, nasze pieniądze z konta bankowego i tak mogą „uciec” – wystarczy tylko, że logowaliśmy się […]

Microsoft zalicza niezwykle kompromitującą wpadkę z zabezpieczeniami w systemowej przeglądarce internetowej – Internet Explorer. Okazuje się, że przy utracie telefonu powinniśmy się liczyć z tym, że nawet jeżeli nasz telefon nie obsługuje płatności zbliżeniowych, a działa pod kontrolą Windows Phone, nasze pieniądze z konta bankowego i tak mogą „uciec” – wystarczy tylko, że logowaliśmy się wcześniej do banku i pozwoliliśmy na zapamiętanie hasła przez przeglądarkę.

Okazuje się, że winien jest mechanizm wyszukiwania zawarty w systemowej przeglądarce. Dzięki integracji Internet Explorera z systemem, współpracuje on z Bing wywoływanym dzięki jednemu z klawiszy nawigacyjnych – Szukaj. Jak to działa? Zaznaczając tekst na stronie i klikając ów przycisk jesteśmy przenoszeni do strony wyszukiwania w Bing – opcja szybka i bardzo przydatna. Jednak, gdy zrobimy to samo z zagwiazdkowanym polem do wprowadzania hasła, kopiując owe gwiazdki i „wyszukując je” w Bing – albo nie powinno być to możliwe, albo wyszukalibyśmy jednolity ciąg znaków. Nic bardziej mylnego – wtedy ujawni się luka w zabezpieczeniach Internet Explorera i Bing wyświetli nam wyniki związane… z hasłem, którym być może logujemy się do banku lub serwisu społecznościowego w przeglądarce.

win2

Oczywiście, luka jest groźna tylko w przypadku, gdy utracimy telefon i mamy zapisane w Internet Explorerze jakiegokolwiek hasła do usług w Internecie. Stąd radzę po pierwsze – nałożyć na telefon blokadę PIN, jeśli tego nie zrobiliście. 6-8 znaków wystarczy, po 5 nieudanych próbach telefon jest blokowany czasowo, podobnie jak urządzenia Apple. Czas ten zwiększa się z każdym kolejnym błędnym logowaniem.

win1

W Ustawieniach Zaawansowanych Internet Explorera (łącze Ustawienia //karta aplikacje// -> Internet Explorer -> „Zaawansowane”) należy zdefiniować nieco bardziej bezpieczne zachowanie przeglądarki polegające na tym, iż nie będzie ona w ogóle zapamiętywać haseł podczas przeglądania stron internetowych. Dla pewności usuwamy także całą historię przeglądania, by telefon nie pamiętał dotychczasowych haseł.

Microsoft nie odniósł się jeszcze do tego fatalnego błędu – mamy jednak nadzieję, że stosowna łatka powinna pojawić się w najbliższym czasie.

Podatność testowana na Windows Phone 8.1.1 – Lumia Denim, Nokia Lumia 830

Grafika: 1

Źródło: wmpoweruser.com