Смартфоны Windows Phone подвержены уязвимости

уязвимость

CyberSecurity.ru опубликовал предупреждение Microsoft о том, что смартфоны, управляемые Windows Phone, содержат уязвимость, позволяющую злоумышленникам вскрывать пользовательскую информацию, необходимую для авторизации в закрытых сетевых корпоративных ресурсах.

Уязвимость находится в секторе аутентификации WiFi, называемой еще PEAP-MSCHAPv2, необходимой Windows Phone-устройствам для выхода в Сеть посредством WiFi-соединения, защищенного с помощью технологи WPA2.

Криптографический баг в технологии Microsoft дает возможность атакующим производить восстановление реквизитов для авторизации в корпоративных ресурсах при подключении жертвы через фальшивую точку доступа. Это нестрашно, если со своего смартфона вы в основном выбираете домашний кабинет из Италии или корм своей собаке, но если на нем присутствуют важные конфиденциальные данные, то дело плохо.

Интересно, что Microsoft обнародовало это сообщение через год с момента обнаружения независимыми экспертами аналогичной уязвимости и разработки ими же алгоритма проведения атаки сектора MSCHAPv2.

Теперь независимые эксперты утверждают, что алгоритмы новой атаки в немалой степени базируются на обнаруженном ими ранее баге и исходят эти алгоритмы из факта отсутствия у Windows Phone проверки подлинности цифровых сертификатов точек соединения.

Представители Microsoft утверждают, что правильно проведенная атака даст возможность атакующему легко получить доступ к любым закрытым ресурсам. Однако сам софтверный гигант не планирует пока создавать патч для этого бага, а корпоративным администраторам в Microsoft советуют в точках сетевого доступа применять цифровые сертификаты.


Похожие материалы: