2019/04/20

MS perde subdomínio que controla Live Tiles


A Microsoft parece ter perdido o interesse no subdomínio que controla os conteúdos de icons dinâmicos no Windows 8 e Windows 10, e que foi registado por um investigador que alerta para os riscos do mesmo poder cair nas mãos de alguém mal intencionado.

O Windows 8 e Windows 10 permitem que se adicione uma página web como Live Tile, capaz de apresentar informação actualizada. Para facilitar a vida aos developers e garantir que o "feed" estava no formato XML exigido pelas Live Tiles, a MS criou um serviço no endereço notifications.buildmypinnedsite.com para fazer a conversão dos diversos formatos RSS. O problema é que a MS parece ter esquecido a existência deste serviço.


Um investigador descobriu que este serviço não estava a funcionar, e em vez disso redireccionava para um subdomínio inexistente do serviço de cloud da MS, o Azure. Mais preocupante, ele conseguiu registar o subdomínio em questão na sua conta Azure, e imediatamente passou a controlar os feeds de milhares de sites que ainda utilizem este serviço - incluindo sites como o Mail.ru, Engadget, e outros.

Se se tratasse de alguém com más intenções, seria muito simples manipular os resultados de modo a incluir links para conteúdos maliciosos, que os utilizadores / vítimas pensariam ser legítimos por lhe estarem a aparecer directamente nas suas Live Tiles.

Devido ao volume de tráfego e respectivos custos associados, o investigador alerta que irá desactivar o subdomínio em breve, e que nessa altura ele poderá ser apanhado por qualquer outra pessoa. Idealmente, a MS deveria novamente tomar conta do serviço, mas uma vez que nem sequer tem respondido às tentativas de comunicação, a recomendação é que os sites deixem de utilizar este subdomínio e passem a gerar o XML para os Live Tiles directamente (se quiserem manter a funcionalidade).

1 comentário:

  1. Eis a tão avançada e mui evoluída sociedade digital...
    Assente sobre pés de barro.

    ResponderEliminar