Изследовател по сигурността е разработил технология за фишинг, която използва функциите на Microsoft WebView2 за кражба на идентификационни данни за вход на жертва и бисквитки. Това може да заобиколи проверката в две стъпки.
Фишинг атака, открита от изследовател WebView2-Крадец на бисквитки Той използва стандартните функции на инструмента за вграждане на уебсайтове WebView2 и измамна програма за кражба на бисквитки за браузъра на потребителя. Въвеждането на конкретен JavaScript код на страницата за вход за легитимни уебсайтове го прави да изглежда така, сякаш това е нормален процес на влизане. По принцип жертвата влиза както обикновено, но след това чрез злонамерения софтуер на нападателя. Това прави възможно например записването на потребителски ключове с помощта на програма за кейлогър.
След като жертвата влезе, със или без приложението за проверка в две стъпки, нападателят може да копира бисквитките, съхранени от браузъра. След това злонамереният хакер може да използва тези бисквитки за удостоверяване за собствената си сесия, така че уебсайтът да вярва, че идентифицира нападателя като легитимен потребител. Откраднатите бисквитки, включително данни за вход, могат да бъдат импортирани в нова сесия чрез разширението на Chrome EditThisCookie, например.
Според изследователя по сигурността уязвимостта се основава на социално инженерство† Жертвата трябва първоначално да стартира изпълнимия файл WebView2, преди да наблюдава опита за влизане в легитимен уебсайт. Microsoft потвърждава в отговор на спящия компютър Следователно потребителите никога не трябва да стартират или инсталират приложения, ако идват от ненадежден източник.
Софтуерният гигант също така заявява, че потребителите винаги трябва да стартират антивирусна програма като Microsoft Defender, за да предотвратят инсталирането на измамни приложения. Джакс приключи Между другото, Defender не спря инсталирането на бета приложението за изследователя по сигурността, а само издаде предупреждение.
„Удобен за хипстър органайзер. Мислител. Комуникатор. Печелен с награди уеб нинджа. Типичен геймър. Зъл гуру на зомбитата. Фен на бирата.“