E-mailclient WP7 vatbaar voor man in the middle-aanval
De e-mailclient van Windows Phone 7 controleert bij het ophalen van e-mail het ssl-certificaat niet goed genoeg. Daardoor is het OS vatbaar voor man in the middle-aanvallen, waarbij e-mail en logingegevens kunnen worden onderschept.
De fout zit hem in de controle van de domeinnaam waarvoor een ssl-certificaat is uitgegeven, blijkt uit een publieke post op de website van de ict-beveiligingsorganisatie van de Amerikaanse overheid, Us-cert. Windows Phone 7 controleert niet of de domeinnaam in het certificaat, de common name, overeenkomt met de domeinnaam waarmee contact wordt gezocht.
Daardoor zou een aanvaller een man in the middle-aanval kunnen uitvoeren, waarbij de aanvaller verkeer tussen een gebruiker en een server onderschept en omleidt. De aanvaller kan dan een malafide certificaat presenteren en zo de beveiligde gegevens uitlezen. Daarmee kunnen logingegevens of zelfs sessiegegevens worden onderschept, waarschuwt Us-cert.
Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.
Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.
Reacties (37)
Als het alleen Windows Phone 7.0 betreft, is de schade zeer beperkt gezien het update model van Windows Phone alle toestellen tegelijkertijd van de update voorziet. Bijna alle WP toestellen draaien daarom inmiddels 7.5.
Dat valt nog te bezien, op dit moment is dat in ieder geval nog niet duidelijk:
Als het alleen WP7.0 betreft heb je helemaal gelijk natuurlijk.Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.
[Reactie gewijzigd door Luuk1983 op 18 september 2012 12:14]
Zoals bij elk software product van elk random software house.
precies alleen bij MS wordt het altijd zo lekker uitgebreid naar buiten gebracht 
Meestal ook omdat ze aardig wat impact kunnen hebben. Als linux hetzelfde probleem had, dan was dat ook belangrijk. Voor een simpele mediaspeler is het al minder belangrijk, want die doelgroep is gewoon een stuk kleiner en je kunt er vaak ook minder mee.
Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed.
Toch een kleine lol!Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed.
Deze zelfde fout is al eerder in Android en iOS geconstateert.
Nee, niet helemaal. Hoewel het wel een OS probleem was, was het zover ik weet alleen gerelateerd aan Exchange ActiveSync. Het echte probleem was dat de MITM attacker een remote wipe kon doorvoeren, naast dat hij/zij jouw mails en credentials kon achterhalen.
/edit: dit bericht dus.
/edit: dit bericht dus.
[Reactie gewijzigd door dmstork op 18 september 2012 15:03]
Het is ook een beetje triest dat Tweakers zich laat verleiden om nu ook vunerabilities met een rating van 5,4 een nieuwsartikel te geven.Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die
http://web.nvd.nist.gov/v...tail?vulnId=CVE-2012-2993
Het andere zero-day lek was een 9,7. Dat was inderdaad wel een nieuwsartikel waard.
[Reactie gewijzigd door hAl op 18 september 2012 12:18]
De kans dat je getroffen werd door Flame was ook nihil, betekend dat dat het niet als nieuws gebracht mag worden?
Dit is gewoon een goed artikel.
Dit is gewoon een goed artikel.
De CVSS rating heeft niks te maken met de kans dat je getroffen werd maar met de ernst van het lek. Een 5,4 lek is een veel minder ernstig lek waarvan er elk jaar honderden gevonden in allerlei soorten software. Ook vandaag was er nog bijvoorbeeld een 6.7 gepubliceerd door us-cert.
http://www.kb.cert.org/vuls/id/591667
http://www.kb.cert.org/vuls/id/591667
[Reactie gewijzigd door hAl op 18 september 2012 13:44]
Anno 2012 zijn er maar weinig ISPs in Nederland die überhaupt SSL ondersteunen voor SMTP/POP3/IMAP en dan kunnen die logingegevens eigenlijk altijd onderschept worden, zeker via een open accesspoint... 
Dan is WP7 nog relatief veilig, voor een man-in-the-middle aanval moet je tenminste enige moeite doen...
Dan is WP7 nog relatief veilig, voor een man-in-the-middle aanval moet je tenminste enige moeite doen...
>ISP
>IMAP
Die moet ik nog tegenkomen, helaas...
>IMAP
Die moet ik nog tegenkomen, helaas...
Moet je even beter zoeken is mij advies, ze bestaan echt. Uit mijn hoofd weet ik dat Tweak en XS4All IMAP aanbieden.
Die van Tweak is zover ik kan zien alleen onbeveiligd, waarbij deze bug uberhaupt geen issue is. Die van XS4all biedt beide.
In België biedt Telenet al Imap aan.
Valt wel mee, in 2011 werden er 100 lekken gedicht (tot aan MS11-100) dat komt neer gemiddeld zo'n 2 lekken per week, maar er waren ook weken dat er echt monsterpatches werden uitgebracht en ook weken dat er hooguit een paar kleine lekken werden gedicht. Het verschil zit hem erin dat sommige lekken voor de uitvoer van willekeurige code de media wel halen en ook weer genoeg niet. En dat ligt niet aan het feit dat het een 0day is, aangezien er genoeg 0day lekken worden gebruikt tegen grote organisaties, overheden en defensiebedrijven die de grote media niet halen.Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.
VRAAG ! m.b.t. bankieren en de klant de alles overkopelende verantwoording (en dus minder vergoedingen) opleggen...
Is bij zo een man in the middle attack iets waarvoor je eigen pc/laptop enz. NIET per se voorzien hoeft te zijn van, enige malware ?
En andersom, als een man in the middle-aanval succes heeft, is dan ook de bank niet/minder verantwoordlijk, maar eigenlijk microsoft ? (alleen (?) als men IE gebruikte uiteraard!)
Is bij zo een man in the middle attack iets waarvoor je eigen pc/laptop enz. NIET per se voorzien hoeft te zijn van, enige malware ?
En andersom, als een man in the middle-aanval succes heeft, is dan ook de bank niet/minder verantwoordlijk, maar eigenlijk microsoft ? (alleen (?) als men IE gebruikte uiteraard!)
Op zijn eenvoudigst:
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Verantwoordelijk is afhankelijk van de situatie, maar bij een MitM aanval hoeft er op beide systemen niet perse malware te draaien. MitM vervangt een knooppunt zeg maar. Ofwel je verkeer gaat via het systeem van de aanvaller. Google voor meer info
Wat is dat nu weer voor onzin?
Windows Phone 7 controleert niet (...) maar dat kan net zo goed een bug zijn. En wat valt er te vergoeden? Is er zelfs al bekend dat er iemand getroffen is hierdoor?
Windows Phone 7 controleert niet (...) maar dat kan net zo goed een bug zijn. En wat valt er te vergoeden? Is er zelfs al bekend dat er iemand getroffen is hierdoor?
Als ze dat moeten doen voor MS, moeten ze dat voor alle bedrijven doen, en dan gaan er heel wat op de fles gaan vrees ik.
Heb je enig inzicht in hun testprocedures dan? Als je denkt dat het wat zegt dat er lekker in een modern OS worden gevonden moet ik je teleurstellen, als je zo'n complex stuk software zonder enige bugs op de markt wilt brengen zul je toch een jaartje of 100 moeten testen. Zelfs OS'en die al 20 jaar op de markt zijn zullen doorgaans nog ongepatchte bugs bevatten, waaronder mogelijk beveiligingslekken. Dus als je graag nog even wacht voordat je van windows 95 gebruik kan maken tot het echt 100% bugvrij is, ga je gang. Ga ik gewoon windows 7 gebruiken met regelmatige updates. Je hoeft het niet te gebruiken, als je denkt dat je er zo'n risico mee loopt (wat, neem ik aan, in de algemene voorwaarden is afgedekt waar je akkoord mee gaat als je het gebruikt, dus een vergoeding heb je daarmee zelf al uitgesloten).wegens een dik onvoldoende geteste producten op de markt te gooien
Er zijn ook wel OS'en die 100% bewezen bugvrij zijn hoor. Maar dat zijn academische projecten en geen commerciële producten, en dat zijn dan ook slechts zeer kleine kernels zonder enige vorm van luxe features. Die wil je voor dagelijks gebruik dus echt niet hebben.
[Reactie gewijzigd door bwerg op 18 september 2012 16:30]
Volgens mij is Android nog erger hoor.
En als er nog geen misbruik van is gemaakt zijn er geen gedupeerden.
En dan nog, bij iOS kan je ook jailbreaken, bij Windows Phone is er nou ook een hack gevonden, als er gewoon snel een update voor naar buiten wordt gebracht is er niks aan de hand.
En trouwens, denk je dat ze dit eerst aan de pers vertellen en dan pas aan Microsoft? Ik denk dat Microsoft hier al een week of in ieder geval zoiets van op de hoogte is.
En als er nog geen misbruik van is gemaakt zijn er geen gedupeerden.
En dan nog, bij iOS kan je ook jailbreaken, bij Windows Phone is er nou ook een hack gevonden, als er gewoon snel een update voor naar buiten wordt gebracht is er niks aan de hand.
En trouwens, denk je dat ze dit eerst aan de pers vertellen en dan pas aan Microsoft? Ik denk dat Microsoft hier al een week of in ieder geval zoiets van op de hoogte is.
Zo te zien valt Exchange Active Sync hier dus niet onder, een protocol wat hoe dan ook al te prefereren is en zover ik weet ook vaker gebruikt wordt.
Daarvoor moet uw mail server wel een exchange zijn.
Gelukkig is dat niet overal het geval.
Maar ze mogen gerust wat doen aan de veiligheid van mail, want de meeste providers is nog gewoon pop3, waar je wachtwoorden in clear text mee doorstuurt (maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund hebben de providers denk ik ook niet veel keuze) .
Gelukkig is dat niet overal het geval.
Maar ze mogen gerust wat doen aan de veiligheid van mail, want de meeste providers is nog gewoon pop3, waar je wachtwoorden in clear text mee doorstuurt (maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund hebben de providers denk ik ook niet veel keuze) .
De server hoeft niet perse Exchange te zijn:
Genoeg opties om POP3/IMAP/SMTP op de mobiel te vermijden.
- GMail
- Hotmail/Outlook.com
- Kerio Connect
- Zarafa met Z-Push
Genoeg opties om POP3/IMAP/SMTP op de mobiel te vermijden.
Als je in Windows Phone een "Google Account" hebt toegevoegd heb je eigenlijk gewoon een Exchange account toegevoegd met een paar speciale parameters. Als je in de instellingen kijkt wijst het ook naar "m.google.com" wat de Exchange-compatible server is van Google. Ongetwijfeld zou het bij Hotmail niet veel anders zijn 
Niet alleen oude zooi heeft daar last van. De meest recente versie van Lotus Domino ondersteunt geen TLS1.0 of later voor SMTP.maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund
En dit terwijl het koppellen met een exchange en een self signed cert. op windowsphone een drama is...
erg slordig...
erg slordig...
Het installeren van certificaten is in mijn ogen niet moeilijk, in het .cer formaat mailen naar je Live ID mailadres (die je heel waarschijnlijk al hebt ingesteld). Bijlage downloaden en dubbelklikken. Of je zet het certificaat op een webserver en browst er naar toe met Mobile IE. WP7 ondersteund het CER, P7B of PFX formaat. Zie ook hier [pdf].
Op deze manier kan je dus ook van de goedkopere certificaat boeren de Root Certificate installeren, hoef je geen self-signed te gebruiken.
De certificaat import moet je wel doen voordat je je ActiveSync account wilt koppelen, zeker AutoDiscover zal dan niet werken en dan zal je op z'n minst alle informatie handmatig in te voeren. En dat is inderdaad minder prettig dan alleen SMTP adres met wachtwoord.
Op deze manier kan je dus ook van de goedkopere certificaat boeren de Root Certificate installeren, hoef je geen self-signed te gebruiken.
De certificaat import moet je wel doen voordat je je ActiveSync account wilt koppelen, zeker AutoDiscover zal dan niet werken en dan zal je op z'n minst alle informatie handmatig in te voeren. En dat is inderdaad minder prettig dan alleen SMTP adres met wachtwoord.
[Reactie gewijzigd door dmstork op 18 september 2012 14:51]
toch vind ik het vinkje in android makkelijker en de melding in iOS die je gewoon ok kan geven...
Snap ik, maar het is een stuk minder veilig als je niet goed oplet, laat staan dat leken ermee moeten werken. Weet je namelijk zeker dat het certificaat niet door een MITM is vervangen zoals hier beschreven voor ActiveSync implementaties?
Dit gaat niet alleen voor wp7 mailclients op, juridisch ook naar want:
The man-in-the-middle attack or sometimes called Janus attack[citation needed]) in cryptography and computer security is a form of active eavesdropping
in which the attacker makes independent connections with the victims
and relays messages between them, making them believe that they are talking directly to each other over a private connection,
when in fact the entire conversation is controlled by the attacker.
The attacker must be able to intercept all messages going between the two victims and inject new ones
Bij een 'rekening kraak' (zonder malware op bank / klant 'pc') , is dus 1 van de 13 globale internet nodes de verantwoordelijke (wie anders?) voor de -1 faal dat dit kan, 'mogelijk gemaakt is' ?
The man-in-the-middle attack or sometimes called Janus attack[citation needed]) in cryptography and computer security is a form of active eavesdropping
in which the attacker makes independent connections with the victims
and relays messages between them, making them believe that they are talking directly to each other over a private connection,
when in fact the entire conversation is controlled by the attacker.
The attacker must be able to intercept all messages going between the two victims and inject new ones
Bij een 'rekening kraak' (zonder malware op bank / klant 'pc') , is dus 1 van de 13 globale internet nodes de verantwoordelijke (wie anders?) voor de -1 faal dat dit kan, 'mogelijk gemaakt is' ?
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
