Sicherheitslücke Windows Phone verrät W-Lan-Zugangsdaten

Microsoft warnt vor einer Sicherheitslücke in Windows Phone: Angreifer können die Zugangsdaten zu verschlüsselten W-Lans ausspähen. Nun sollen die Nutzer selbst für mehr Sicherheit sorgen.

Microsoft-Chef Ballmer zeigt Windows 8: Sicherheitslücke bei der W-Lan-Anmeldung
DPA

Microsoft-Chef Ballmer zeigt Windows 8: Sicherheitslücke bei der W-Lan-Anmeldung


Angreifer können Windows Phone unter Umständen dazu bringen, W-Lan-Zugangsdaten zu verraten: Vor dieser Sicherheitslücke warnt Microsoft seine Nutzer. Ursache sei das schon länger nicht mehr sichere Protokoll PEAP-MS-CHAPv2, so der Konzern. "Um diese Sicherheitsanfälligkeit auszunutzen, kann ein von einem Angreifer kontrolliertes System sich als bekannten W-Lan-Zugriffspunkt ausgeben."

Auf diese Weise ist es Dritten möglich, Passwörter auszuspähen. Hat sich der Angreifer einmal in den Besitz der an sich verschlüsselten Anmeldedaten gebracht, kann er sich jederzeit bei betroffenen Netzwerkressourcen neu anmelden, mit allen Rechten seines Opfers. Damit könnten wertvolle Firmendaten gestohlen, weitere Passwörter ausgelesen oder Schadprogramme installiert werden.

Derzeit gebe es noch keinerlei Hinweise auf etwaige Auswirkungen auf Nutzer von Windows Phone. Von der Sicherheitslücke sind Smartphones mit den Versionen Windows Phone 7.8 oder 8 betroffen, anscheinend aber keine älteren Versionen. Für den Fachdienst "Heise" ist das Leck "hausgemacht und prinzipbedingt". Eigentlich solle ein SSL-Tunnel die Anmeldung schützen. Der lasse sich jedoch einfach und schnell durch Cloud-Dienste knacken, wie "Heise"-Techniker bereits demonstriert hätten.

Microsoft erklärte, keinen Patch zur Verfügung stellen zu wollen. Anstelle dessen werden Ratschläge erteilt: Betroffene Anwender sollen ihre Geräte so konfigurieren, dass die Anmeldung in Funknetzen nur nach vorheriger Überprüfung durch ein entsprechendes Zertifikat möglich ist. Dazu muss die etablierte W-Lan-Verbindung in den erweiterten Einstellungen gelöscht werden. Danach soll der Nutzer eine neue Verbindung zum Firmennetzwerk erstellen, die Option "Serverzertifikat überprüfen" aktivieren und das von der firmeneigenen IT-Abteilung veröffentlichte Zertifikat auswählen und mit "fertig" bestätigen.

meu

Zur Startseite
Diesen Artikel...
Mehr zum Thema


Forum
Diskutieren Sie über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
Ze4 07.08.2013
1. untertrieben
Ganz Windows ist (gewollt) eine einzige Sicherheitslücke, genau wie andere Betriebssysteme amerikanischer Konzerne (MacOS, iOS, ChromeOS). Werde nur noch Linux, sprich Ubuntu auf PC und Phone einsetzen.
Ganz Windows ist (gewollt) eine einzige Sicherheitslücke, genau wie andere Betriebssysteme amerikanischer Konzerne (MacOS, iOS, ChromeOS). Werde nur noch Linux, sprich Ubuntu auf PC und Phone einsetzen.
hanfiey 07.08.2013
2. völliger Blödsinn
Der Rat von MS ist ein Hohn, wer bitte hat zu hause einen Anmeldeserver mit HTTPS.
Der Rat von MS ist ein Hohn, wer bitte hat zu hause einen Anmeldeserver mit HTTPS.
Berlin142 07.08.2013
3. Das ist so wie geschrieben ziemlicher Unsinn
Kommt eben davon, wenn man bei heise Unsinn abschreibt und nicht selber recherchiert, was eigentlich los ist. MS Chap V2 ist sicher ein altes Protokoll und auch kein Default unter Windows, das ist seit Jahren EAP. Wenn man CHAP [...]
Kommt eben davon, wenn man bei heise Unsinn abschreibt und nicht selber recherchiert, was eigentlich los ist. MS Chap V2 ist sicher ein altes Protokoll und auch kein Default unter Windows, das ist seit Jahren EAP. Wenn man CHAP will, so muss man dieses Protokoll erst einmal einschalten. Der zweite Punkt: Es muss dann auch noch so eingerichtet sein, dass die notwendigen Zertifikate bei der Anmeldung gar nicht geprüft werden. Dann hat aber der Admin Unfug angestellt. Noch wichtiger: Es geht hier darum, dass man einen Netzwerkzugang für die Smartphones im Firmennetz anbietet. Das wird man aber in den wenigsten Fällen tun, zudem sorgen hier MDM (Mobile Device Management) Lösungen für die korrekte Implementierung, i.A. Richtlinienbasiert. Die Frage, die sich mir stellt: Will man sich mit dem Abschreiben bei heise eigentlich bewußt lächerlich machen? Heise bedient bekanntermaßen eine Klientel, in der Masse bestehend aus Schülern und Studenten, die sich in der Rolle des "ABM" gefallen. Da kommen dann auch teilweise sehr kuriose Meldungen über angebliche Probleme bei MS heraus, die schon einer simplen Betrachtung nicht standhalten. Erst vor ca. 2 Wochen ist SPON ja auf so etwas hereingefallen. Wenn man aber nicht in der Lage ist, selber solche Sachen zu verifizieren (wie es ja scheint), sollte man vielleicht besser auf solche Headlines verzichten, die sich eben in der Realität als weitgehend unsinnig erweisen. JT
akl1978 07.08.2013
4. @Berlin142: nur nicht wundern
Zum Autor: "Richard Meusers sitzt im Garten und sieht seinen Blumen beim Wachsen zu." Da hat man keine Zeit sauber zu recherchieren.
Zum Autor: "Richard Meusers sitzt im Garten und sieht seinen Blumen beim Wachsen zu." Da hat man keine Zeit sauber zu recherchieren.
Thinal 07.08.2013
5.
Zuhause benutzt man normalerweise auch kein EAP, sondern WAP2/PSK.
Zitat von hanfieyDer Rat von MS ist ein Hohn, wer bitte hat zu hause einen Anmeldeserver mit HTTPS.
Zuhause benutzt man normalerweise auch kein EAP, sondern WAP2/PSK.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.