Hyökkääjän WPA2-salausta käyttävä WLAN-tukiasema voi esittäytyä käyttäjän Windows Phone -puhelimelle luotettavana verkkona, jolloin päästään käsiksi käyttäjän tunnistautumistietoihin.
Tiedot ovat salattuja, mutta PEAP-MS-CHAPv2-protokollan kryptauksessa olevan heikkouden takia hyökkääjä voi purkaa salauksen ja saada käsiinsä tunnuksen ja salasanan, joilla voi päästä kirjautumaan yritysverkkoihin.
Microsoft ei kertonut aikeista julkaista haavoittuvuutta korjaavaa päivitystä. Yhtiö mukaan käyttäjien tulisi asettaa puhelin vaatimaan tukiasemilta turvasertifikaattia ennen tunnistautumista. Lisäksi WLAN-yhteyden kytkemistä pois päältä suositellaan, jos yhteydelle ei ole tarvetta.
Microsoft on julkaissut tiedot haavoittuvuudesta ja ohjeet sen kiertämiseen sivuillaan.
Kommentit (1)
No eipä tuo MS-CHAPv2 koskaan olekkaan ollut mitenkään kovin varteenotettava suoja, mikäli jotain haluaa suojata. Vois MS siirtyä jo ihan suosiolla AES pohjaiseen salaukseen laitteissaan.
PS. tuskin kommentteihin enää tarttee lainata tekstiä itse artikkelista ilman, että meinaa edes kommentoida siihen.Myös linkkien laittaminen Voisiko ylläpito avata silmänsä ja alkaa siivoilemaan näitä turhakkeiden kommentteja? kaikella kunnioituksella tietysti ja tottakai.