Matti Robinson
6. elokuuta, 2013 16:54
Microsoft on eilen kertonut Windows Phone 8- ja Windows Phone 7.8 -puhelimia koskevasta tietoturva-aukosta. Haavoittuvuus mahdollistaa WLAN-verkkojen tunnistautumistietojen urkinnan.
Hyökkääjän WPA2-salausta käyttävä WLAN-tukiasema voi esittäytyä käyttäjän Windows Phone -puhelimelle luotettavana verkkona, jolloin päästään käsiksi käyttäjän tunnistautumistietoihin.
Tiedot ovat salattuja, mutta PEAP-MS-CHAPv2-protokollan kryptauksessa olevan heikkouden takia hyökkääjä voi purkaa salauksen ja saada käsiinsä tunnuksen ja salasanan, joilla voi päästä kirjautumaan yritysverkkoihin.
Microsoft ei kertonut aikeista julkaista haavoittuvuutta korjaavaa päivitystä. Yhtiö mukaan käyttäjien tulisi asettaa puhelin vaatimaan tukiasemilta turvasertifikaattia ennen tunnistautumista. Lisäksi WLAN-yhteyden kytkemistä pois päältä suositellaan, jos yhteydelle ei ole tarvetta.
Microsoft on julkaissut tiedot haavoittuvuudesta ja ohjeet sen kiertämiseen sivuillaan.