微软:WP手机接入恶意WiFi网络时易遭攻击

安全
微软周一警告称,Windows Phone智能手机在接入恶意WiFi网络时易遭攻击,可导致用户证书被盗,而这些证书一般用于登录敏感的公司网络。

微软周一警告称,Windows Phone智能手机在接入恶意WiFi网络时易遭攻击,可导致用户证书被盗,而这些证书一般用于登录敏感的公司网络。

安全漏洞存在于一个名为“PEAP-MS-CHAPv2”的WiFi验证方案中,Windows Phone手机用户可通过这个验证方案,访问受“WiFi保护接入”(Wi-Fi Protected Access)协议2.0版保护的无线网络。

由于微软开发的这项技术在加密方面存在缺陷,攻击者可以在Windows Phone手机连接到恶意WiFi接入点时,获取这部手机的加密域名证书。通过利用MS-CHAPv2加密协议中的安全漏洞,攻击者可以破译这些数据。

微软在安全公告中警告称:“攻击者可以将由其控制的系统,伪装成已知WiFi接入点,受害者的Windows Phone手机将自动与这个接入点进行身份认证,这样,攻击者就能截获有关受害者加密域名证书的信息。随后,攻击者就可以利用PEAP-MS-CHAPv2的加密漏洞,获取受害者的域名证书。”

实际上,在一年多前的一次实验中,研究人员就曾对MS-CHAPv2加密方案进行过攻击。微软在安全公告中也对那次攻击做了描述,称研究人员将这个漏洞与Windows Phone手机用户的行为习惯相结合,导致设备可自动登录恶意WiFi网络,同时还不首先验证其数字证书。当手机试图通过CHAPv2验证时,恶意网络的操作者就可以利用这个加密漏洞,获得用户名和密码。

设计了去年攻击方案的研究人员摩西·马尔林斯派克(Moxie Marlinspike)说:“如果运用得当,这应该会成为一种无缝攻击手段,可用于对付在大多数企业环境下使用的无线企业证书。”研究人员戴维·胡尔顿(David Hulton)也帮助实施了去年针对MS-CHAPv2加密方案的攻击。

不过,微软并不打算发布一个补丁来修复这个安全漏洞。相反,该公司高管建议,在开始身份验证之前,Windows Phone 8设备用户需要一个证书来验证无线接入点。微软的安全公告也包含一些操作指导,让用户对Windows Phone设备做出专门的设置,以获得验证无线接入点可靠性的证书。

微软在安全公告中还建议,用户在不需要智能手机WiFi连接的时候,最好将其关闭。微软表示,由于一份公开报告描述了MS-CHAP上面的一个已知漏洞,该公司最终在周一发布了安全公告。(扬帆)

责任编辑:蓝雨泪 来源: 新浪科技
相关推荐

2011-12-13 14:11:35

微软AndroidWP

2016-11-14 14:39:46

2014-12-18 13:24:53

2012-03-24 21:11:20

微软

2015-04-23 16:05:28

2021-07-28 10:10:06

微软LemonDuck恶意软件

2020-07-10 14:02:14

Windows 10微软新功能

2013-09-16 09:20:04

微软

2010-04-15 11:25:10

2022-05-26 09:55:16

网络攻击恶意软件

2009-05-15 11:35:03

2015-04-07 10:47:16

2011-08-23 13:45:46

2010-09-20 11:31:21

2012-06-21 09:07:22

微软WP7WP8

2009-11-10 14:38:33

2017-10-12 16:08:40

2009-12-18 11:02:14

2011-12-29 20:51:21

Windows pho

2011-09-22 14:20:10

雷军小米WP7
点赞
收藏

51CTO技术栈公众号