A Microsoft parece ter perdido o interesse no subdomínio que controla os conteúdos de icons dinâmicos no Windows 8 e Windows 10, e que foi registado por um investigador que alerta para os riscos do mesmo poder cair nas mãos de alguém mal intencionado.
O Windows 8 e Windows 10 permitem que se adicione uma página web como Live Tile, capaz de apresentar informação actualizada. Para facilitar a vida aos developers e garantir que o "feed" estava no formato XML exigido pelas Live Tiles, a MS criou um serviço no endereço notifications.buildmypinnedsite.com para fazer a conversão dos diversos formatos RSS. O problema é que a MS parece ter esquecido a existência deste serviço.
Um investigador descobriu que este serviço não estava a funcionar, e em vez disso redireccionava para um subdomínio inexistente do serviço de cloud da MS, o Azure. Mais preocupante, ele conseguiu registar o subdomínio em questão na sua conta Azure, e imediatamente passou a controlar os feeds de milhares de sites que ainda utilizem este serviço - incluindo sites como o Mail.ru, Engadget, e outros.
Se se tratasse de alguém com más intenções, seria muito simples manipular os resultados de modo a incluir links para conteúdos maliciosos, que os utilizadores / vítimas pensariam ser legítimos por lhe estarem a aparecer directamente nas suas Live Tiles.
Devido ao volume de tráfego e respectivos custos associados, o investigador alerta que irá desactivar o subdomínio em breve, e que nessa altura ele poderá ser apanhado por qualquer outra pessoa. Idealmente, a MS deveria novamente tomar conta do serviço, mas uma vez que nem sequer tem respondido às tentativas de comunicação, a recomendação é que os sites deixem de utilizar este subdomínio e passem a gerar o XML para os Live Tiles directamente (se quiserem manter a funcionalidade).
Eis a tão avançada e mui evoluída sociedade digital...
ResponderEliminarAssente sobre pés de barro.