Windows Phone: Microsoft warnt vor Passwort-Diebstahl im WLAN

In einem aktuellen Security Advisory warnt Microsoft vor dem Diebstahl sensibler Informationen, wenn man sich mit einem kompromittierten WLAN-Netzwerk verbindet. Das klingt an sich schon mal äußerst logisch, hat aber dann doch einen echten technischen Hintergrund: Wenn sich ein Windows Phone mit einem Unternehmens-WLAN verbindet, kommt zur Absicherung dabei teilweise das Verfahren PEAP-MS-CHAPv2 zum Einsatz, welches sicherheitstechnisch nicht mehr auf der Höhe der Zeit ist.
Setzt nun ein Hacker ein gleichnamiges, offenes WLAN auf und ein Windows Phone klinkt sich in dieses ein, kann das Passwort für das Firmen-WLAN ausgespäht werden – und der Angreifer bekommt Zugang zu dem “echten” Netz. Gefahr droht hier also nicht dem Windows Phone selbst, sondern vielmehr den Netzwerken, mit denen sich die Geräte verbinden.

Ein Patch ist daher nicht zu erwarten, weil man das Problem als solches gar nicht patchen kann, darum spricht Microsoft in seinem Advisory auch von einer “bekannten Schwäche”.
Echte Angriffe sind offenbar nicht bekannt, und immerhin gibt es auch einen Ratschlag, wie sich das Problem vermeiden lässt: Bei der Verbindung mit einem Access Point soll die Überprüfung des Server-Zertifikats aktiviert werden, damit sich das Gerät nicht automatisch ungefragt mit einem gleichnamigen Netzwerk verbindet.

Quelle, via