Supongamos que un sistema operativo de escritorio tiene una pantalla de bloqueo y se desvanece y se bloquea después de la inactividad. Supongamos que la apariencia predeterminada y la duración de la inactividad son bien conocidas (por ejemplo, considere una instalación predeterminada de alguna versión popular de Linux). ¿Hay algo que me esté perdiendo que impida el siguiente ataque?
- Cree una página web que atraiga al usuario para verla en pantalla completa durante algún tiempo sin entrada (por ejemplo, un reproductor de video)
- Poco antes de que se active el temporizador de inactividad, imite la pantalla de desvanecimiento y el indicador de inicio de sesión.
- El usuario intenta iniciar sesión como de costumbre, proporcionando sus credenciales a la página web (además, la entrada del usuario restablece el temporizador de inactividad real).
La pantalla de bloqueo falso probablemente no pueda impedir que el usuario llegue a la pantalla de bloqueo real mediante un atajo de teclado (por ejemplo, Ctrl-Alt-L). Sin embargo, si el usuario cree que ya está en la pantalla de bloqueo, no hay ninguna razón para hacerlo.
Antecedentes: Mi empleador implementó recientemente una pantalla de bloqueo personalizada. Yo y otros (que perdimos el anuncio) sospechamos de una solicitud de contraseña desconocida. Se sugirió que la preocupación es infundada porque cambiar la pantalla de bloqueo ya requiere privilegios significativos. Sin embargo, no veo cómo esto descarta la posibilidad de que un programa de espacio de usuario simule una pantalla de bloqueo (es cierto que la apariencia fue significativamente diferente, por lo que si se tratara de una imitación sería una mala).