В недавно опубликованном компанией Microsoft бюллетене по безопасности содержится предупреждение о том, что смартфоны под управлением Windows Phone могут быть подвержены взлому, поскольку система содержит уязвимость, позволяющую хакерам получить доступ к учётным данным пользователя. Сообщается, что данная уязвимость находится в протоколе аутентификации Wi-Fi, который позволяет смартфонам подключаться к Wi-Fi-сетям, защищённым по технологии WPA2. Криптографическая уязвимость, более известная как PEAP-MS-CHAPv2, позволяет атакующим восстанавливать реквизиты для входа в защищенные корпоративные домены и ресурсы, когда жертва подключается к фальшивой точке доступа.
Учётные данные пользователя могут быть использованы для повторной аутентификации на сетевых ресурсах, при этом злоумышленник может дублировать любые действия пользователя. Отметим, что Microsoft опубликовала бюллетень более чем через год после того, как независимые специалисты разработали алгоритм атаки, работающей против PEAP-MS-CHAPv2. Независимые эксперты полагают, что новая уязвимость в значительной мере базируется на ранее выявленной и исходит из того, что Windows Phone не проверяет цифровые сертификаты подлинности у точек доступа Wi-Fi.
Компания сообщает, что на сегодняшний день ей неизвестны случаи эксплуатации данной уязвимости для кражи корпоративных данных, паролей либо попыток взлома сетей, поэтому выпуск исправления для PEAP-MS-CHAPv2 она считает нецелесообразным, но вместо этого перед выполнением протокола аутентификации при подключении к точкам доступа Wi-Fi рекомендует включать проверку сертификатов подлинности. Данные о настройке запроса сертификата для платформ Windows Phone 7,8 и 8 содержатся в опубликованном бюллетене.