5.3. Device Trustworthiness (デバイスの信頼性)

他のネイティブアプリケーション OAuth 2.0 フローとは異なり、認可を要求するデバイスは、ユーザーがアクセスを許可するデバイスと同じではありません。したがって、承認するユーザーのセッションとデバイスからのシグナルは、常にクライアントデバイスの信頼性に関連しているわけではありません。

このフローで使用される認可サーバーが悪意のあるものである場合、別の認可サーバーへのバックチャネルフローに対して中間者攻撃を実行できることに注意してください。このシナリオでは、中間者は完全に隠されているわけではなく、エンドユーザーは間違ったサービスの認可ページにたどり着くため、ブラウザのアドレスバーの URL が間違っていることに気付く機会が与えられます。これが可能になるには、デバイスメーカーが攻撃者であり、中間者攻撃を実行することを意図したデバイスを出荷しているか、攻撃者によって制御された認可サーバーを使用している必要があります。おそらく、攻撃者がデバイスで使用される認可サーバーを侵害したためです。ある程度、デバイスを購入する人は、メーカーとそのビジネスパートナーが信頼できることを期待しています。