door Martin Brinkmann op 17 April 2019 in Security, Windows – 13 reacties
Microsoft introduceerde de Tegels in het Menu Start van Windows en Start pagina met de lancering van het Windows 8-besturingssysteem. Ontworpen voor het toevoegen van een dynamische opmerking om de eerder statische programma ‘ s, services en website links door het ondersteunen van de opties om te laden nieuwe tegel inhoud regelmatig, het was een functie die nooit zag een brede acceptatie door gebruikers van Windows.
Velen waren alleen blootgesteld aan de standaard lijst van tegels die Microsoft Start profielen; dit belette niet dat Microsoft van het toevoegen van ondersteuning voor Live-Tegels op Windows-10. Websites en diensten de ondersteuning van de functie, zodat gebruikers die vastgemaakt deze om te Beginnen zou ontvangen bijgewerkt tegels wanneer er nieuwe content beschikbaar werd. Terwijl de tegels zijn op hun weg naar buiten, ze zijn nog steeds ondersteund in alle recente versies van Windows.
Een verhaal op de duitse computer-site Golem (in het engels) wordt beschreven hoe Golem kreeg de handen op een domein verantwoordelijk voor de Tegel voor het leveren van inhoud naar Windows systemen, omdat Microsoft gefaald bij het beschermen goed tegen wat wordt genoemd een subdomein overname aanval.
De overname gaf Golem volledige controle over de inhoud die geleverd aan gebruiker systems; Windows 8 en 10 kunnen gebruikers pin ondersteunende websites Beginnen om updates te ontvangen wanneer er nieuwe content wordt gepubliceerd.
Golem opgemerkt dat sites zoals Engadget, Mail.ru of de grote duitse nieuwssites Heise of Giga, ondersteund tegels, net als vele anderen.
Hoe de aanval werd uitgevoerd
De host verantwoordelijk te maken voor het leveren van gegevens naar Windows apparaten notifications.buildmypinnedsite.com; Microsoft lijkt te hebben verlaten het domein en terwijl het doorgestuurd naar een subdomein van Azure, nooit geregistreerd met Azure. Golem geslaagd voor het registreren van het subdomein met behulp van een gewone Azure account en toegevoegd bijbehorende host-namen naar de volledige controle over de Tegels service gebruikt om inhoud te leveren aan gebruikers-apparaten.
Het tijdschrift contact opgenomen met Microsoft over het probleem, maar niet ontvangen van een antwoord volgens het artikel. Zij merkte op dat de gastheer ontvangen van een “behoorlijke hoeveelheid verkeer” en dat Golem zou niet te houden van de host geregistreerd permanent omdat van de exploitatiekosten.
Golem gestopt met de web app in de tussentijd, het geeft een 403 deze web app is gestopt fout nu zo gemanipuleerd dat de inhoud niet kan worden geleverd aan de gebruiker apparaten in de tijd.
Windows-gebruikers wilt deactiveren website live tiles (zie deze tutorial voor Windows 8 Live Tiles) als er gebruik als gevolg, en website-eigenaren willen neerzetten, ondersteuning voor de functie als goed te beschermen tegen mogelijk misbruik.
Slotwoord
Ik had nooit gedacht dat veel van de Live-Tegels op de desktop-versies van Windows. Terwijl een deel van de functionaliteit op prijs werd gesteld, bijvoorbeeld het krijgen van een up-to-date weather report door het openen van Start, de meeste van de functionaliteit niet veel zin te maken op het bureaublad, in mijn mening.
Een scenario als dit mag nooit meer gebeuren in mijn mening, zeker niet als het de potentie heeft invloed op klanten negatief.
Nu U: Wat is uw mening over de Live-Tegels of dynamische tegels in het algemeen?