Sicherheitslücke
Windows Phone verrät W-Lan-Zugangsdaten
Microsoft warnt vor einer Sicherheitslücke in Windows Phone: Angreifer können die Zugangsdaten zu verschlüsselten W-Lans ausspähen. Nun sollen die Nutzer selbst für mehr Sicherheit sorgen.
Microsoft-Chef Ballmer zeigt Windows 8: Sicherheitslücke bei der W-Lan-Anmeldung
Foto: DPA
Angreifer können Windows Phone unter Umständen dazu bringen, W-Lan-Zugangsdaten zu verraten: Vor dieser Sicherheitslücke warnt Microsoft seine Nutzer. Ursache sei das schon länger nicht mehr sichere Protokoll PEAP-MS-CHAPv2, so der Konzern. "Um diese Sicherheitsanfälligkeit auszunutzen, kann ein von einem Angreifer kontrolliertes System sich als bekannten W-Lan-Zugriffspunkt ausgeben."
Auf diese Weise ist es Dritten möglich, Passwörter auszuspähen. Hat sich der Angreifer einmal in den Besitz der an sich verschlüsselten Anmeldedaten gebracht, kann er sich jederzeit bei betroffenen Netzwerkressourcen neu anmelden, mit allen Rechten seines Opfers. Damit könnten wertvolle Firmendaten gestohlen, weitere Passwörter ausgelesen oder Schadprogramme installiert werden.
Derzeit gebe es noch keinerlei Hinweise auf etwaige Auswirkungen auf Nutzer von Windows Phone. Von der Sicherheitslücke sind Smartphones mit den Versionen Windows Phone 7.8 oder 8 betroffen, anscheinend aber keine älteren Versionen. Für den Fachdienst "Heise" ist das Leck "hausgemacht und prinzipbedingt". Eigentlich solle ein SSL-Tunnel die Anmeldung schützen. Der lasse sich jedoch einfach und schnell durch Cloud-Dienste knacken, wie "Heise"-Techniker bereits demonstriert hätten.
Microsoft erklärte, keinen Patch zur Verfügung stellen zu wollen. Anstelle dessen werden Ratschläge erteilt: Betroffene Anwender sollen ihre Geräte so konfigurieren, dass die Anmeldung in Funknetzen nur nach vorheriger Überprüfung durch ein entsprechendes Zertifikat möglich ist. Dazu muss die etablierte W-Lan-Verbindung in den erweiterten Einstellungen gelöscht werden. Danach soll der Nutzer eine neue Verbindung zum Firmennetzwerk erstellen, die Option "Serverzertifikat überprüfen" aktivieren und das von der firmeneigenen IT-Abteilung veröffentlichte Zertifikat auswählen und mit "fertig" bestätigen.
