首頁 搜索 分類
您的位置:首頁 » 裝修知識 » 軟裝搭配

微軟 WP手機接入惡意WiFi網路時易遭攻擊

安全性漏洞存在於一個名為“PEAP-MS-CHAPv2”的WiFi驗證方案中, Windows Phone手機用戶可通過這個驗證方案, 訪問受“WiFi保護接入”(Wi-Fi Protected Access)協定2.0版保護的無線網路。

由於微軟開發的這項技術在加密方面存在缺陷,

攻擊者可以在Windows Phone手機連接到惡意WiFi接入點時, 獲取這部手機的加密功能變數名稱證書。 通過利用MS-CHAPv2加密協議中的安全性漏洞, 攻擊者可以破譯這些資料。

微軟在安全公告中警告稱:“攻擊者可以將由其控制的系統, 偽裝成已知WiFi接入點, 受害者的Windows Phone手機將自動與這個接入點進行身份認證, 這樣, 攻擊者就能截獲有關受害者加密功能變數名稱證書的資訊。 隨後, 攻擊者就可以利用PEAP-MS-CHAPv2的加密漏洞, 獲取受害者的功能變數名稱證書。 ”

實際上, 在一年多前的一次實驗中, 研究人員就曾對MS-CHAPv2加密方案進行過攻擊。 微軟在安全公告中也對那次攻擊做了描述, 稱研究人員將這個漏洞與Windows Phone手機用戶的行為習慣相結合,

導致設備可自動登錄惡意WiFi網路, 同時還不首先驗證其數位憑證。 當手機試圖通過CHAPv2驗證時, 惡意網路的操作者就可以利用這個加密漏洞, 獲得用戶名和密碼。

設計了去年攻擊方案的研究人員摩西·瑪律林斯派克(Moxie Marlinspike)說:“如果運用得當,

這應該會成為一種無縫攻擊手段, 可用於對付在大多數企業環境下使用的無線企業證書。 ”研究人員大衛·胡爾頓(David Hulton)也幫助實施了去年針對MS-CHAPv2加密方案的攻擊。

不過, 微軟並不打算發佈一個補丁來修復這個安全性漏洞。 相反, 該公司高管建議, 在開始身份驗證之前, Windows Phone 8設備使用者需要一個證書來驗證無線接入點。 微軟的安全公告也包含一些操作指導, 讓使用者對Windows Phone設備做出專門的設置, 以獲得驗證無線接入點可靠性的證書。

微軟在安全公告中還建議, 使用者在不需要智慧手機WiFi連接的時候, 最好將其關閉。 微軟表示, 由於一份公開報告描述了MS-CHAP上面的一個已知漏洞, 該公司最終在週一發佈了安全公告。

 相關用戶問答
下一頁
推薦給朋友吧!
搜索
喜欢就按个赞吧!!!
点击关闭提示