“Microsoft मैनिफ़ेस्ट की समीक्षा करता है, उस पर हस्ताक्षर करता है, और ऐड-इन को अपने स्टोर में सूचीबद्ध करता है। लेकिन वास्तविक सामग्री – यूआई, तर्क, वह सब कुछ जिसके साथ उपयोगकर्ता इंटरैक्ट करता है – ऐड-इन खुलने पर हर बार डेवलपर के सर्वर से लाइव लाया जाता है,” कोई सिक्योरिटी के शोधकर्ताओं ने कहा।
अनाथ यूआरएल
छोड़े गए उपडोमेन को हथियाने से, हमलावर ने मूल मेनिफेस्ट में जिस भी URL की ओर इशारा किया था, उस पर नियंत्रण प्राप्त कर लिया। इस सामग्री को एक नए यूआरएल से बदल दिया गया था जो फ़िशिंग किट की ओर इशारा करता था जिसमें पासवर्ड संग्रह के लिए एक नकली माइक्रोसॉफ्ट साइन-इन पेज, एक एक्सफ़िल्ट्रेशन स्क्रिप्ट और एक रीडायरेक्ट शामिल था। मूल घोषणापत्र में हमलावर को ईमेल पढ़ने और संशोधित करने की अनुमति भी दी गई थी।
“उन्होंने माइक्रोसॉफ्ट को कुछ भी सबमिट नहीं किया। उन्हें कोई समीक्षा पास करने की आवश्यकता नहीं थी। उन्होंने कोई स्टोर सूची नहीं बनाई। लिस्टिंग पहले से मौजूद थी – माइक्रोसॉफ्ट-समीक्षा की गई, माइक्रोसॉफ्ट-हस्ताक्षरित, माइक्रोसॉफ्ट-वितरित। हमलावर ने सिर्फ एक अनाथ यूआरएल का दावा किया, और माइक्रोसॉफ्ट के बुनियादी ढांचे ने बाकी काम किया,” कोई सिक्योरिटी ने कहा।