Microsoft schakelt App Installer-protocol standaard uit wegens misbruik
Microsoft heeft besloten om het App Installer-protocol in Windows wegens misbruik standaard uit te schakelen. Volgens het techbedrijf maken cybercriminelen er gebruik van om gebruikers en organisaties met malware te infecteren. Via het protocol zijn Windows-apps vanaf een webpagina te installeren. Gebruikers kunnen op deze manier eenvoudig de installatie van de betreffende software uitvoeren.
Twee jaar geleden verhielp Microsoft als een zerodaylek in het protocol. Destijds konden criminelen de getoonde softwareleverancier spoofen, waardoor het voor gebruikers leek alsof ze software van bekende leveranciers zoals Adobe en Microsoft installeerden, terwijl het in werkelijkheid om malware ging. Bij de nu waargenomen aanvallen is dat niet het geval en wordt de naam van een onbekende softwareleverancier getoond.
Gebruikers worden bijvoorbeeld via phishingaanvallen verleid om Zoom of Adobe PDF Reader te installeren, maar het gaat hier om malware waarmee verdere aanvallen worden uitgevoerd. De aanvallen zijn het werk van criminele organisaties die zich onder andere met bankfraude en ransomware bezighouden, aldus Microsoft. Om het waargenomen misbruik tegen te gaan is nu besloten het protocol in Windows standaard uit te schakelen. Daarnaast kunnen het beheerders het ook via een group policy binnen hun organisatie uitschakelen of inschakelen.
En dat laat weer duidelijk zien waarom de benadering die Microsoft en andere softwareleveranciers altijd al hebben gekozen, namelijk om zoveel mogelijk drempels weg te nemen en dingen met een minimum aan moeite door te laten gaan, verkeerd uitpakt.
Ik vind het niet vreemd dat dit misgaat. Als je gemakzucht voortdurend stimuleert leren mensen zich ook gemakzuchtig te gedragen. Het bevordert niet dat mensen opletten, het bevordert juist dat ze dat niet doen. Dingen die vergen dat mensen even goed nadenken voor ze ermee doorgaan moeten juist niet te makkelijk zijn. User interfaces voor dat soort dingen moeten uitnodigen tot bedachtzaamheid, niet tot gedachteloos toestemming geven. Dat bij apps die gevaarlijke rechten vragen (zelfs domweg alle, zoals in de screenshot bij het artikel) het vinkje voor direct opstarten vooraf ingevuld staat is echt ongelofelijk stom.
Persoonlijke ergernis: In de onderschriften noemt Microsoft deze vensters trouwens consequent een "Sample malicious App Installer experience". Microsoft smijt echt te pas en te onpas met het woord "experience". Alsof je als je boodschappen gaat doen met je autoervaring naar de supermarktervaring gaat en daar je boodschappen bij de kassaervaring afrekent. Wat is dat toch voor idioot taalgebruik?
Dat laatste lijkt wellicht ongerelateerd maar is het misschien toch niet. Beide vormen van idiotie zouden een gevolg kunnen zijn van een veel dikke vinger in de pap van de marketingafdeling.
En dat laat weer duidelijk zien waarom de benadering die Microsoft en andere softwareleveranciers altijd al hebben gekozen, namelijk om zoveel mogelijk drempels weg te nemen en dingen met een minimum aan moeite door te laten gaan, verkeerd uitpakt.
Ik vind het niet vreemd dat dit misgaat. Als je gemakzucht voortdurend stimuleert leren mensen zich ook gemakzuchtig te gedragen. Het bevordert niet dat mensen opletten, het bevordert juist dat ze dat niet doen. Dingen die vergen dat mensen even goed nadenken voor ze ermee doorgaan moeten juist niet te makkelijk zijn. User interfaces voor dat soort dingen moeten uitnodigen tot bedachtzaamheid, niet tot gedachteloos toestemming geven. Dat bij apps die gevaarlijke rechten vragen (zelfs domweg alle, zoals in de screenshot bij het artikel) het vinkje voor direct opstarten vooraf ingevuld staat is echt ongelofelijk stom.
Persoonlijke ergernis: In de onderschriften noemt Microsoft deze vensters trouwens consequent een "Sample malicious App Installer experience". Microsoft smijt echt te pas en te onpas met het woord "experience". Alsof je als je boodschappen gaat doen met je autoervaring naar de supermarktervaring gaat en daar je boodschappen bij de kassaervaring afrekent. Wat is dat toch voor idioot taalgebruik?
Dat laatste lijkt wellicht ongerelateerd maar is het misschien toch niet. Beide vormen van idiotie zouden een gevolg kunnen zijn van een veel dikke vinger in de pap van de marketingafdeling.
Microsoft logica is daarnaast altijd bizar geweest. Men heeft altijd geleerd om op start te klikken om te stoppen.
Wat verwacht je dan nog?
What could possibly go wrogn? Ik dacht dat ms inmiddels ook wel had begrepen dat secure defaults de juiste weg waren.
Buzzwords: belevingen en ervaringen. Ineens is alles een beleving.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890
Daarna hebben ze het 'Vendor' veld toegevoegd zodat je kan zien wie de uitgever is en de hele boel weer ingeschakeld.
Die gasten vallen zo vaak in herhaling dat het niet grappig meer is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.