5.3. Device Trustworthiness (Affidabilità del dispositivo)

A differenza di altri flussi OAuth 2.0 di applicazioni native, il dispositivo che richiede l'autorizzazione non è lo stesso dispositivo da cui l'utente concede l'accesso. Pertanto, i segnali dalla sessione dell'utente approvante e dal dispositivo non sono sempre rilevanti per l'affidabilità del dispositivo client.

Si noti che se un server di autorizzazione utilizzato con questo flusso è malevolo, potrebbe eseguire un attacco man-in-the-middle sul flusso del canale posteriore verso un altro server di autorizzazione. In questo scenario, il man-in-the-middle non è completamente nascosto alla vista, poiché l'utente finale finirebbe sulla pagina di autorizzazione del servizio sbagliato, dandogli l'opportunità di notare che l'URL nella barra degli indirizzi del browser è sbagliato. Perché ciò sia possibile, il produttore del dispositivo deve essere l'aggressore e spedire un dispositivo destinato a eseguire l'attacco man-in-the-middle, o utilizzare un server di autorizzazione controllato da un aggressore, possibilmente perché l'aggressore ha compromesso il server di autorizzazione utilizzato dal dispositivo. In parte, la persona che acquista il dispositivo conta sul fatto che il produttore e i suoi partner commerciali siano affidabili.