BroncaGestãoHackingMercadoMicrosoftRedesSegurança da InformaçãoSistemas OperacionaisSmartphones e TelefoniaTecnologia da InformaçãoVida DigitalWindows Phone

Bug descoberto no Windows Phone, deixa aparelhos vulneráveis a invasão

Smartphones rodando o sistema operacional da Microsoft, Windows Phone, são vulneráveis à ataques que podem extrair credenciais do usuário necessárias para efetuar login em redes corporativas, advertiu a empresa nesta segunda-feira.

A vulnerabilidade está presente em um sistema de autenticação wifi, conhecido como PEAP-MS-CHAPv2, que os Windows Phones usam para acessar redes sem fio protegidas pela versão 2 do protocolo de acesso. Essa fraqueza detectada na criptografia desenvolvida pela Microsoft, permite que um invasor recupere credenciais de domínio criptografadas, quando este dispositivo se conecta e um ponto de acesso não autorizado (honey pot). Ao explorar a vulnerabilidades no protocolo MS-CHAPv2 , o invasor poderia então descriptografar os dados.

“O invasor, após ter sob controle um dispositivo rodando o Windows Phone, poderia se passar por um ponto de acesso Wi-Fi vpalido na rede. Assim, quem se conectasse nele, teria suas credenciais de rede interceptadas e descriptografadas”, de acordo com um artigo publicado no Technet na Microsoft advisory.

matrix

O aviso vem um pouco mais de um ano depois que pesquisadores planejaram um ataque contra o MS CHAPv2, para poder quebrar esse sistema que é usado por centenas de serviços de segurança. O ataque descrito nesta segunda-feira pela assessoria ocorre, porque o exploit explora o comportamento do Windows Phone que, se conectam a redes falsas, sem antes checar seus certificados digitais.

“Se estivermos corretos, isso deve significar um ataque contínuo a várias empresas que usam este sistema da MS em ambientes corporativos”, revelou Moxie Marlinspike, pseudônimo usado por um dos pesquisadores que inventaram o exploit ano passado. Quem também esteve envolvido no projeto, foi o pesquisador David Hulton.

A microsoft já avisou que não vai lançar nenhum patch de atualização para corrigir a brecha de segurança. Ao invés disso, no artigo citado acima, ela ensina como configurar seu dispositivo com Windows Phone, a exigir um certificado digital, durante o processo de autenticação na rede. Esse certificado, nada mais é que um certificado de confiabilidade do ponto de acesso. O comunicado, também informa para os usuários manterem seus dispositivos conectados ao wifi, apenas quando necessário.

Típico da Microsoft…

{}!

Etiquetas
Mostrar mais

Alex Rodrigues

Baiano que ama tecnologia. Faz aplicações para a web, desenvolve e presta consultoria. Adora um jogo de xadrez e um hold´em. Editor dos antigos expertstech.net e technodia.net

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Botão Voltar ao topo
Fechar