Menü
Alert! Stand:
Security

Windows-Kacheln entführt

Durch die Übernahme einer verwaisten Domain konnte ein Sicherheitsforscher den Desktop von Windows-Nutzern umgestalten.

vorlesen Drucken Kommentare lesen 171 Beiträge

(Bild: Hanno Böck )

Über Windows Live Kacheln konnte und kann der IT-Sicherheitsspezialist Hanno Böck eigene Inhalte auf dem Windows Desktop vieler Anwender platzieren. Dazu musste er lediglich eine verwaiste Domain registrieren, die ehemals Microsoft gehörte.

Auf Hinweise dazu reagierte der Windows-Hersteller offenbar nicht; also hat Böck das Problem jetzt in einem Artikel auf Golem veröffentlicht. Wie viele Anwender betroffen sind, ist unklar; besonders beliebt waren die Kacheln jedoch nie.

Microsoft führte die Kacheln mit Windows 8 ein. In sogenannten Live Tiles konnten Web-Seiten ihre Inhalte direkt auf dem Desktop platzieren. Dazu bot Microsoft einen Dienst in der eigenen Azure-Cloud, der RSS-Feeds in ein passendes Format konvertierte. Diesen Dienst haben die Redmonder eingestellt und offenbar die Domain vergessen. Jedenfalls konnte Böck die Domain selbst registrieren und in der Folge eigene Inhalte an die Windows-Desktops ausliefern. Er hat nach eigenen Aussagen Microsoft über dieses Problem informiert, jedoch keine Antwort erhalten.

Die betroffene Azure-Domain ist notifications.buildmypinnedsite.com; sie liefert mittlerweile nur noch eine Fehlermeldung aus. Viele Web-Seiten betteten die Domain gemäß der Microsoft-Spezifikation als

<meta name="msapplication-notification" ... uri=http://notifications.buildmypinnedsite.com/?feed=...>

in ihre Web-Seiten ein, damit Anwender die Live-Kacheln anlegen konnten. Auch heise online hatte einen derartigen Eintrag. Dieser wurde jedoch bereits am gestrigen Dienstag, direkt nach der Benachrichtigung durch Böck, entfernt. Wer noch ähnliches in seinen Web-Seiten findet, sollte das wohl ebenfalls tun. Anwender, die noch Live-Kacheln auf ihrem Desktop haben, sollten diese entfernen. Es sieht ohnehin nicht so aus, als wäre diesen noch eine große Zukunft beschieden.

Update 17.4.2019, 12:15: Status der Domain aktualisiert. Diese liefert mittlerweile nur noch "Error 403 - This web app is stopped." (ju)