Falske wifi-signaler kan stjæle netværkskode fra Windows Phone

En svaghed i den kryptering, som bruges til at logge på et trådløst netværk med WPA2, gør det muligt at stjæle brugerens login-oplysninger, advarer Microsoft.

Blot ved at kende navnet på det sikre trådløse firmanetværk vil en hacker kunne få brugernes login-oplysninger ud af en Windows Phone, som er sat op til at koble sig på netværket automatisk. Det fremgår af en sikkerhedsadvarsel fra Microsoft.

Sikkerhedshullet ligger i den protokol, som Microsoft benytter til autentificering af login-oplysninger på et WPA2 trådløst netværk. Protokollen, PEAP-MS-CHAPv2, indeholder en svaghed i krypteringen, som gør det muligt at afkode de login-oplysninger, der bliver afgivet til netværket.

Ifølge Microsoft vil sårbarheden i princippet kunne udnyttes ved, at en hacker opsætter et trådløst netværk, som udgiver sig for at være det sikre netværk, der benyttes i en virksomhed.

Når en Windows Phone er inden for rækkevidde og forsøger at koble sig på netværket, vil de krypterede login-oplysninger kunne opsnappes og afkodes, hvorefter hackeren vil kunne bruge dem til at få adgang til det ægte netværk.

Ifølge Microsoft er der ikke tale om en sårbarhed, der kan lappes med en opdatering til Windows Phone. I stedet bør man benytte præinstallerede certifikater på telefonerne til netværket, så telefonen kan bekræfte, at et wifi-opkoblingspunkt er den ægte vare.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans-Michael Varbæk

Det gælder ikke for WPA2-PSK og WPA-PSK. Der er dog mindre sikre "måder" at konfigurere disse, men med PSK og WPA eller WPA2 (CCMP) ville en hacker kun få "handshake" som skal crackes ved bruteforcing. Et komplekst kodeord ville ikke være omfattet af dette problem.

Problemet i artiklen er ikke nyt, da jeg flere gange har været ude hos kunder med trådløse enterprise miljøer hvor de har en Radius server/service der står for authentication, for at teste om de havde sat deres systemer korrekt op.

iPhones, og mange andre smartphones og endda tablets kan logge på disse netværk, og hvis de ikke er konfigureret sikkert, kan de komme til at bruge MSCHAP når de forbinder til et "Rogue Accessit Point".

Komme til er måske lidt overdrevet sagt da hackerens trådløse adgangspunkt "Rogue AP" er sat op til at understøtte MSCHAP med samme navn som dem han eller hun angriber. (Og evt en spoofed MAC adresse)

Når windows smartphonen forbinder til hackerens "Rogue AP" vælger den MSCHAP, hvilket så kan "sniffes" ved hjælp af: en router (eller airbase-ng og et kompatibelt kort) ogfreeradius-wpe, hvilket minder mig om jeg har glemt mit trådløse kort er som dog bruges professionelt.

Det er relativt let at sætte op.

For at rette det her problem skal Windows smartphonen sættes korrekt op, hvor der f.eks. skal bruges specifik certificate validation, og nogle andre indstillinger som gør at telefonen ikke bruger en usikker metode til at forbinde med.

Nu kender jeg dog ikke sikkerhedsfeaturesne i Windows smartphonen, men hvis det er ligesom Windows XP og højere så kan det sagtens sættes op sikkert.

På kort og længere sigt bør firmaer bruge MDM (Mobile Device Management) løsninger hvis smartphonen og tablets skal kunne bruges på arbejdspladsen.

Ydermere har de fleste enterprise adgangspunkter indbygget IPS (Intrusion Prevention System) som f.eks. Kan detektere "Rogue AP" og endda prøve på at "lægge dem ned" som dog kan have en skadelig (noise ratio) effekt. Aruba er f.eks. en af de firmaer som jeg har "in the field" og kigget manualer igennem da jeg skulle skrive om de optimale indstillinger forhold til default som er relativt lavt sikret.

En længere forklaring men jeg er sikker på der nok er nogen der vil få gavn af den :-)

  • 9
  • 0
Joe Sørensen

Desktop Windows udemærker sig ved at WPA Enterprice er forholdsvis svært at sætte op, hvis man sammenligner med med fx, Ubuntu, Android og iPad. Ved de sidste 3 vælger man bare APen og skriver brugernavn og kode. Ved Desktop Windows skal certificater sætter op, eller der skal anvendes et Windows domæne.

Omfatter denne svaghed i Windows Phone kun Windows Phone, eller kan man lokke de andre systemer til at gøre det samme? Vil en iPad skifte til MSCHAP autentificering hvis et AP ønsker der, selvom koden er tastet ind i forbindelse med log on til en mere sikker AP?

  • 0
  • 0
Povl H. Pedersen

Problemet har været diskuteret i mindst 1.5 år på Internet. Så der er ikke noget nyt. Og PEAP-MS-CHAPv2 bruges mange steder i virksomheder.

Det bruges også til PPTP, og her er en artikel om hvordan man knækker MS-CHAPv2 med 100% success: https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

Problemet er, at man skal sætte klienten op til at validere AP'ets certifikat. Og mange har ikke tilstrækkeligt device management til at de gør dette. Mange gør det nok heller ikke på PC'erne, så det samme problem eksisterer sandsynligvis også i desktop Windows. Det nye er vist kun at Windows Phone har samme svaghed som desktop Windows.

Det har altid været et problem, at en klient gerne vil associere sig med et nyt AP med samme SSID, og gerne vil sende password eller password hash. WPA-PSK gjorde dog op med dette.

  • 0
  • 0
Log ind eller Opret konto for at kommentere