Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke: Windows Phone verrät W-Lan-Zugangsdaten

Microsoft-Chef Ballmer zeigt Windows 8: Sicherheitslücke bei der W-Lan-Anmeldung Zur Großansicht
DPA

Microsoft-Chef Ballmer zeigt Windows 8: Sicherheitslücke bei der W-Lan-Anmeldung

Microsoft warnt vor einer Sicherheitslücke in Windows Phone: Angreifer können die Zugangsdaten zu verschlüsselten W-Lans ausspähen. Nun sollen die Nutzer selbst für mehr Sicherheit sorgen.

Angreifer können Windows Phone unter Umständen dazu bringen, W-Lan-Zugangsdaten zu verraten: Vor dieser Sicherheitslücke warnt Microsoft seine Nutzer. Ursache sei das schon länger nicht mehr sichere Protokoll PEAP-MS-CHAPv2, so der Konzern. "Um diese Sicherheitsanfälligkeit auszunutzen, kann ein von einem Angreifer kontrolliertes System sich als bekannten W-Lan-Zugriffspunkt ausgeben."

Auf diese Weise ist es Dritten möglich, Passwörter auszuspähen. Hat sich der Angreifer einmal in den Besitz der an sich verschlüsselten Anmeldedaten gebracht, kann er sich jederzeit bei betroffenen Netzwerkressourcen neu anmelden, mit allen Rechten seines Opfers. Damit könnten wertvolle Firmendaten gestohlen, weitere Passwörter ausgelesen oder Schadprogramme installiert werden.

Derzeit gebe es noch keinerlei Hinweise auf etwaige Auswirkungen auf Nutzer von Windows Phone. Von der Sicherheitslücke sind Smartphones mit den Versionen Windows Phone 7.8 oder 8 betroffen, anscheinend aber keine älteren Versionen. Für den Fachdienst "Heise" ist das Leck "hausgemacht und prinzipbedingt". Eigentlich solle ein SSL-Tunnel die Anmeldung schützen. Der lasse sich jedoch einfach und schnell durch Cloud-Dienste knacken, wie "Heise"-Techniker bereits demonstriert hätten.

Microsoft erklärte, keinen Patch zur Verfügung stellen zu wollen. Anstelle dessen werden Ratschläge erteilt: Betroffene Anwender sollen ihre Geräte so konfigurieren, dass die Anmeldung in Funknetzen nur nach vorheriger Überprüfung durch ein entsprechendes Zertifikat möglich ist. Dazu muss die etablierte W-Lan-Verbindung in den erweiterten Einstellungen gelöscht werden. Danach soll der Nutzer eine neue Verbindung zum Firmennetzwerk erstellen, die Option "Serverzertifikat überprüfen" aktivieren und das von der firmeneigenen IT-Abteilung veröffentlichte Zertifikat auswählen und mit "fertig" bestätigen.

meu

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. untertrieben
Ze4 07.08.2013
Ganz Windows ist (gewollt) eine einzige Sicherheitslücke, genau wie andere Betriebssysteme amerikanischer Konzerne (MacOS, iOS, ChromeOS). Werde nur noch Linux, sprich Ubuntu auf PC und Phone einsetzen.
2. völliger Blödsinn
hanfiey 07.08.2013
Der Rat von MS ist ein Hohn, wer bitte hat zu hause einen Anmeldeserver mit HTTPS.
3. Das ist so wie geschrieben ziemlicher Unsinn
Berlin142 07.08.2013
Kommt eben davon, wenn man bei heise Unsinn abschreibt und nicht selber recherchiert, was eigentlich los ist. MS Chap V2 ist sicher ein altes Protokoll und auch kein Default unter Windows, das ist seit Jahren EAP. Wenn man CHAP will, so muss man dieses Protokoll erst einmal einschalten. Der zweite Punkt: Es muss dann auch noch so eingerichtet sein, dass die notwendigen Zertifikate bei der Anmeldung gar nicht geprüft werden. Dann hat aber der Admin Unfug angestellt. Noch wichtiger: Es geht hier darum, dass man einen Netzwerkzugang für die Smartphones im Firmennetz anbietet. Das wird man aber in den wenigsten Fällen tun, zudem sorgen hier MDM (Mobile Device Management) Lösungen für die korrekte Implementierung, i.A. Richtlinienbasiert. Die Frage, die sich mir stellt: Will man sich mit dem Abschreiben bei heise eigentlich bewußt lächerlich machen? Heise bedient bekanntermaßen eine Klientel, in der Masse bestehend aus Schülern und Studenten, die sich in der Rolle des "ABM" gefallen. Da kommen dann auch teilweise sehr kuriose Meldungen über angebliche Probleme bei MS heraus, die schon einer simplen Betrachtung nicht standhalten. Erst vor ca. 2 Wochen ist SPON ja auf so etwas hereingefallen. Wenn man aber nicht in der Lage ist, selber solche Sachen zu verifizieren (wie es ja scheint), sollte man vielleicht besser auf solche Headlines verzichten, die sich eben in der Realität als weitgehend unsinnig erweisen. JT
4. @Berlin142: nur nicht wundern
akl1978 07.08.2013
Zum Autor: "Richard Meusers sitzt im Garten und sieht seinen Blumen beim Wachsen zu." Da hat man keine Zeit sauber zu recherchieren.
5.
Thinal 07.08.2013
Zitat von hanfieyDer Rat von MS ist ein Hohn, wer bitte hat zu hause einen Anmeldeserver mit HTTPS.
Zuhause benutzt man normalerweise auch kein EAP, sondern WAP2/PSK.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: