Microsoft Edge WebView2 Runtime komt naar Windows 10, maar is onveilig

phishing e-mail

Microsoft start met de uitrol van WebView2 Runtime naar het besturingssysteem Windows 10. Voor Windows 11 is de uitrol niet nodig, aangezien de runtime automatisch in het systeem aanwezig is.

Limin Zhu, Senior PM Manger bij Microsoft, begint de blog met uit te leggen waarvoor WebView2 dient: “Microsoft Edge WebView2 is een middel voor ontwikkelaars om webcontent in applicaties te zetten.”

Uitrol gestart

De blog kondigt de komst van de runtime aan voor Windows 10. Momenteel geldt dat enkel voor de consumenten pc’s. Zakelijke toestellen krijgen WebView2 niet, de techgigant geeft zelf aan daar wel over na te denken.

Hiervoor raadde Microsoft ontwikkelaars die werken op Windows 10 aan om de runtime te installeren en verspreiden met hun applicaties. “In de afgelopen twee jaar hebben meer dan 400 miljoen van deze apparaten nu de WebView2 Runtime dankzij ontwikkelaars die WebView 2-applicaties bouwen en verspreiden.”

Omzeilt multifactor authenticatie

Op vlak van cybersecurity blijkt de runtime alleen nog geen tien op tien te scoren. Een beveiligingsonderzoeker vond namelijk een nieuwe phishingmethode om de multifactor authenticatie (MFA) te omzeilen.

Mr.d0x, de onderzoeker, beschrijft hoe het mogelijk is om schadelijke JavaScript-code toe te voegen aan websites die laden in WebView2-applicaties. De ingeladen webpagina oogt normaal, maar JavaScript draait in de achtergrond en stuurt alles wat in de applicaties wordt getypt door naar een gekozen webserver. Op inlogpagina’s kan deze methode dus eenvoudig gebruikersnamen en wachtwoorden stelen.

lees ook

Opgepast: Browser-in-Browser phishingtechniek kan iedereen verrassen

Verder kon hij logincookies stelen via het besturingselement, nadat een gebruiker zichzelf aanmeldde. Authenticatiecodes maken daar deel van uit, waardoor het mogelijk wordt om MFA te omzeilen. De onderzoeker zelf testte de methode via de webbrowser Google Chrome.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.