¿Es la característica de vibración de HTML5 una vulnerabilidad de seguridad?

Se utilizó una ventana emergente para mostrar la alerta. ¿Esto significa que la característica emergente introduce vulnerabilidades? Entonces, por esa línea de razonamiento, JavaScript es la fuente de todos los problemas. Hay personas que realmente piensan que JS es un vector importante para los ataques y lo bloquean en sitios web no confiables con extensiones como NoScript.

Muchas funciones se pueden utilizar incorrectamente, y depende de las personas que crean los estándares, los navegadores e incluso los sitios web para juzgar lo que está mal y para cambiar los estándares o implementar mitigaciones. Por supuesto, esas personas pueden estar equivocadas y algunas características pueden usarse inesperadamente para atacar a los usuarios.

Un buen ejemplo es la consola del navegador, que se usa con mucha frecuencia para engañar a los usuarios para que peguen el código JS que ataca al usuario. Esto ayudó a los gusanos de Facebook a propagarse con gran éxito. Facebook notó esto y presentó este mensaje en la consola:

Estafuncióndevibraciónpuedeengañaraalgunosusuariosparaquepiensenqueenrealidadeselsistemaoperativoquemuestralaalerta,perocreoquelosúltimosnavegadoresmóvileshacenunbuentrabajoalmostrarlealusuarioqueaúnestádentrodelnavegador.Enestecaso,elmensajedelnavegadoreslosuficientementeclaro"La página en andro-apps.com dice:"

Si esto se convierte en un vector importante para el ataque, estoy seguro de que los fabricantes del navegador lo notarán y realizarán cambios para reducir el impacto.

  

Supongamos que una página web maliciosa muestra una notificación falsa del sistema y   Vibra al mismo tiempo. ¿Qué tan seguro sería de decirle al   diferencia entre un pop-up legítimo y un .png en la página web   estás viendo.

( Source )

Personalmente, no he oído hablar de ningún exploit relacionado con HTML5 Vibrate API, pero podría usarse para objetivos evil como se muestra en el enlace de arriba. Pero más serio es lo que menciona el texto citado más arriba: no se puede distinguir entre una ventana emergente legítima y otra cosa . Este algo más podría ser una ventana emergente que se utiliza para desencadenar un ataque de descarga desde el vehículo lo que lleva a la instalación de malware (generalmente spyware o adware) en su sistema mediante la explotación de las vulnerabilidades del navegador que utiliza (o las de sus complementos).

  

Pero afortunadamente, pude calmar mis nervios lo suficiente como para darme cuenta de que   Este es un scare-ware servido a través de un servidor de anuncios y que el   el antivirus podría ser el virus real.

Usted ha sido bastante sabio en su decisión porque podría ser un ataque de descarga. Intente usar servicios gratuitos (pero potentes) como Stop Badware en su computadora portátil para ver si el sitio web que navegó está en la lista negra (la notificación puede ser negativo en caso de que el sitio web se haya comprometido recientemente y nadie lo haya informado).

Honestamente, la pregunta central es si la vibración del teléfono le dará a una aplicación / sitio web mucha más autoridad que sin la vibración. Ahora, obviamente, no tengo ninguna investigación sobre este tema específico, pero podemos notar que las aplicaciones no usan vibraciones como una forma de reunir autoridad. Si algo se siente mal, una aplicación vibra mientras está encendida y es un indicador adicional de que algo es extraño en la situación, ya que la vibración tiende a activarse solo cuando la pantalla está apagada.

¿Podría la vibración crear una sensación de urgencia para algunas personas? Definitivamente, y por lo tanto podría mejorar marginalmente la eficiencia del software espía, pero incluso si ese fuera el caso, no sería una vulnerabilidad de seguridad, ya que la API de vibración no le permitiría hacer nada que no se pueda hacer. Un rasgo necesario de una vulnerabilidad de seguridad. Entonces, en conclusión, definitivamente no es una vulnerabilidad de seguridad y tendría poco sentido bloquearlo detrás de un cuadro de diálogo de permiso.

No es una vulnerabilidad en sí misma ya que no se puede usar para explotar directamente el dispositivo, pero ciertamente puede ser y (como indica su pregunta) se ha utilizado para ataques de ingeniería social.

En el caso que mencionó, se está utilizando para crear una sensación de urgencia y engañar al usuario para que instale software no deseado. También se puede utilizar en combinación con indicaciones que simulan diálogos generados por el Sistema operativo u otras aplicaciones en el teléfono para engañar al usuario para que cargue contenido malicioso.

Firefox para Android ahora tiene una solicitud de permiso para la vibración a partir de la versión 49 ( fuente de la página ; informe de error relevante ):

  

¿Es la característica de vibración de HTML5 una vulnerabilidad de seguridad? ¿Deben los navegadores móviles habilitar esta función en los sitios web de forma predeterminada?

Al menos en el escenario que describe, no. La función de vibración aquí facilita un ataque de ingeniería social, pero se usa según lo previsto y diseñado.

En un sentido más general, puede haber otras vulnerabilidades de seguridad relacionadas con la API vibrar (o, para el caso, con cualquier otra característica de HTML)