“Outra maneira de economizar sutileza sem agir é usar o mecanismo de cache UIA”, disse o pesquisador. “Além dos elementos da IU atualmente exibidos na tela com os quais podemos interagir, muitos elementos são pré-carregados e armazenados em cache. Também podemos interagir com esses recursos, como ler mensagens que não podem ser exibidas na tela, ou até mesmo configurar uma caixa de texto e enviar mensagens sem que ela fique visível na tela.”
Isto, claro, também se aplica a outras aplicações. Por exemplo, no contexto de um site de compras online aberto em um navegador, um invasor pode usar o UIA para detectar quando um usuário está inserindo informações de cartão de crédito e extrair esses dados.
Ou podem interagir com a barra de endereço para redirecionar o usuário para uma versão maliciosa do site que está aberto no momento. Como o usuário já espera estar no site, pode nem perceber a mudança de endereço. Por exemplo, se um site for atualizado e solicitar que eles façam login, eles podem pensar que a sessão expirou e precisam se autenticar novamente. Isso acontece frequentemente em outros sites, incluindo serviços de e-mail, e pode não ser suspeito.
