Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 37, views: 14.777 •

De e-mailclient van Windows Phone 7 controleert bij het ophalen van e-mail het ssl-certificaat niet goed genoeg. Daardoor is het OS vatbaar voor man in the middle-aanvallen, waarbij e-mail en logingegevens kunnen worden onderschept.

De fout zit hem in de controle van de domeinnaam waarvoor een ssl-certificaat is uitgegeven, blijkt uit een publieke post op de website van de ict-beveiligingsorganisatie van de Amerikaanse overheid, Us-cert. Windows Phone 7 controleert niet of de domeinnaam in het certificaat, de common name, overeenkomt met de domeinnaam waarmee contact wordt gezocht.

Daardoor zou een aanvaller een man in the middle-aanval kunnen uitvoeren, waarbij de aanvaller verkeer tussen een gebruiker en een server onderschept en omleidt. De aanvaller kan dan een malafide certificaat presenteren en zo de beveiligde gegevens uitlezen. Daarmee kunnen logingegevens of zelfs sessiegegevens worden onderschept, waarschuwt Us-cert.

Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.

Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.

Reacties (37)

Als het alleen Windows Phone 7.0 betreft, is de schade zeer beperkt gezien het update model van Windows Phone alle toestellen tegelijkertijd van de update voorziet. Bijna alle WP toestellen draaien daarom inmiddels 7.5.
Dat valt nog te bezien, op dit moment is dat in ieder geval nog niet duidelijk:
Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.
Als het alleen WP7.0 betreft heb je helemaal gelijk natuurlijk.

[Reactie gewijzigd door Luuk1983 op 18 september 2012 12:14]

Zoals bij elk software product van elk random software house.
precies alleen bij MS wordt het altijd zo lekker uitgebreid naar buiten gebracht :)
Meestal ook omdat ze aardig wat impact kunnen hebben. Als linux hetzelfde probleem had, dan was dat ook belangrijk. Voor een simpele mediaspeler is het al minder belangrijk, want die doelgroep is gewoon een stuk kleiner en je kunt er vaak ook minder mee.
Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed. :)
Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed. :)
Toch een kleine lol!
Deze zelfde fout is al eerder in Android en iOS geconstateert.
Nee, niet helemaal. Hoewel het wel een OS probleem was, was het zover ik weet alleen gerelateerd aan Exchange ActiveSync. Het echte probleem was dat de MITM attacker een remote wipe kon doorvoeren, naast dat hij/zij jouw mails en credentials kon achterhalen.

/edit: dit bericht dus.

[Reactie gewijzigd door dmstork op 18 september 2012 15:03]

Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die
Het is ook een beetje triest dat Tweakers zich laat verleiden om nu ook vunerabilities met een rating van 5,4 een nieuwsartikel te geven.
http://web.nvd.nist.gov/v...tail?vulnId=CVE-2012-2993

Het andere zero-day lek was een 9,7. Dat was inderdaad wel een nieuwsartikel waard.

[Reactie gewijzigd door hAl op 18 september 2012 12:18]

De kans dat je getroffen werd door Flame was ook nihil, betekend dat dat het niet als nieuws gebracht mag worden?

Dit is gewoon een goed artikel.
De CVSS rating heeft niks te maken met de kans dat je getroffen werd maar met de ernst van het lek. Een 5,4 lek is een veel minder ernstig lek waarvan er elk jaar honderden gevonden in allerlei soorten software. Ook vandaag was er nog bijvoorbeeld een 6.7 gepubliceerd door us-cert.
http://www.kb.cert.org/vuls/id/591667

[Reactie gewijzigd door hAl op 18 september 2012 13:44]

Anno 2012 zijn er maar weinig ISPs in Nederland die Łberhaupt SSL ondersteunen voor SMTP/POP3/IMAP en dan kunnen die logingegevens eigenlijk altijd onderschept worden, zeker via een open accesspoint... :/ Dan is WP7 nog relatief veilig, voor een man-in-the-middle aanval moet je tenminste enige moeite doen...
>ISP
>IMAP
Die moet ik nog tegenkomen, helaas...
Moet je even beter zoeken is mij advies, ze bestaan echt. Uit mijn hoofd weet ik dat Tweak en XS4All IMAP aanbieden.
Die van Tweak is zover ik kan zien alleen onbeveiligd, waarbij deze bug uberhaupt geen issue is. Die van XS4all biedt beide.
In BelgiŽ biedt Telenet al Imap aan.
Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.
Valt wel mee, in 2011 werden er 100 lekken gedicht (tot aan MS11-100) dat komt neer gemiddeld zo'n 2 lekken per week, maar er waren ook weken dat er echt monsterpatches werden uitgebracht en ook weken dat er hooguit een paar kleine lekken werden gedicht. Het verschil zit hem erin dat sommige lekken voor de uitvoer van willekeurige code de media wel halen en ook weer genoeg niet. En dat ligt niet aan het feit dat het een 0day is, aangezien er genoeg 0day lekken worden gebruikt tegen grote organisaties, overheden en defensiebedrijven die de grote media niet halen.
VRAAG ! m.b.t. bankieren en de klant de alles overkopelende verantwoording (en dus minder vergoedingen) opleggen...

Is bij zo een man in the middle attack iets waarvoor je eigen pc/laptop enz. NIET per se voorzien hoeft te zijn van, enige malware ?

En andersom, als een man in the middle-aanval succes heeft, is dan ook de bank niet/minder verantwoordlijk, maar eigenlijk microsoft ? (alleen (?) als men IE gebruikte uiteraard!)
Verantwoordelijk is afhankelijk van de situatie, maar bij een MitM aanval hoeft er op beide systemen niet perse malware te draaien. MitM vervangt een knooppunt zeg maar. Ofwel je verkeer gaat via het systeem van de aanvaller. Google voor meer info
Wat is dat nu weer voor onzin?
Windows Phone 7 controleert niet (...) maar dat kan net zo goed een bug zijn. En wat valt er te vergoeden? Is er zelfs al bekend dat er iemand getroffen is hierdoor?
Als ze dat moeten doen voor MS, moeten ze dat voor alle bedrijven doen, en dan gaan er heel wat op de fles gaan vrees ik.
wegens een dik onvoldoende geteste producten op de markt te gooien
Heb je enig inzicht in hun testprocedures dan? Als je denkt dat het wat zegt dat er lekker in een modern OS worden gevonden moet ik je teleurstellen, als je zo'n complex stuk software zonder enige bugs op de markt wilt brengen zul je toch een jaartje of 100 moeten testen. Zelfs OS'en die al 20 jaar op de markt zijn zullen doorgaans nog ongepatchte bugs bevatten, waaronder mogelijk beveiligingslekken. Dus als je graag nog even wacht voordat je van windows 95 gebruik kan maken tot het echt 100% bugvrij is, ga je gang. Ga ik gewoon windows 7 gebruiken met regelmatige updates. Je hoeft het niet te gebruiken, als je denkt dat je er zo'n risico mee loopt (wat, neem ik aan, in de algemene voorwaarden is afgedekt waar je akkoord mee gaat als je het gebruikt, dus een vergoeding heb je daarmee zelf al uitgesloten).

Er zijn ook wel OS'en die 100% bewezen bugvrij zijn hoor. Maar dat zijn academische projecten en geen commerciŽle producten, en dat zijn dan ook slechts zeer kleine kernels zonder enige vorm van luxe features. Die wil je voor dagelijks gebruik dus echt niet hebben.

[Reactie gewijzigd door bwerg op 18 september 2012 16:30]

Volgens mij is Android nog erger hoor.

En als er nog geen misbruik van is gemaakt zijn er geen gedupeerden.

En dan nog, bij iOS kan je ook jailbreaken, bij Windows Phone is er nou ook een hack gevonden, als er gewoon snel een update voor naar buiten wordt gebracht is er niks aan de hand.

En trouwens, denk je dat ze dit eerst aan de pers vertellen en dan pas aan Microsoft? Ik denk dat Microsoft hier al een week of in ieder geval zoiets van op de hoogte is.
Zo te zien valt Exchange Active Sync hier dus niet onder, een protocol wat hoe dan ook al te prefereren is en zover ik weet ook vaker gebruikt wordt.
Daarvoor moet uw mail server wel een exchange zijn.

Gelukkig is dat niet overal het geval.


Maar ze mogen gerust wat doen aan de veiligheid van mail, want de meeste providers is nog gewoon pop3, waar je wachtwoorden in clear text mee doorstuurt (maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund hebben de providers denk ik ook niet veel keuze) .
De server hoeft niet perse Exchange te zijn:
  • GMail
  • Hotmail/Outlook.com
  • Kerio Connect
  • Zarafa met Z-Push
en ongetwijfeld vele andere groupware pakketten ondersteunen gewoon ActiveSync, native of met een aanvulling. Dus Exchange zelf is niet perse noodzakelijk. En als men alleen een POP3 of IMAP server heeft, dan heeft GMail en ik meen ook Outlook.com import mogelijkheden.

Genoeg opties om POP3/IMAP/SMTP op de mobiel te vermijden.
Als je in Windows Phone een "Google Account" hebt toegevoegd heb je eigenlijk gewoon een Exchange account toegevoegd met een paar speciale parameters. Als je in de instellingen kijkt wijst het ook naar "m.google.com" wat de Exchange-compatible server is van Google. Ongetwijfeld zou het bij Hotmail niet veel anders zijn ;)
maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund
Niet alleen oude zooi heeft daar last van. De meest recente versie van Lotus Domino ondersteunt geen TLS1.0 of later voor SMTP.
En dit terwijl het koppellen met een exchange en een self signed cert. op windowsphone een drama is...

erg slordig...
Het installeren van certificaten is in mijn ogen niet moeilijk, in het .cer formaat mailen naar je Live ID mailadres (die je heel waarschijnlijk al hebt ingesteld). Bijlage downloaden en dubbelklikken. Of je zet het certificaat op een webserver en browst er naar toe met Mobile IE. WP7 ondersteund het CER, P7B of PFX formaat. Zie ook hier [pdf].

Op deze manier kan je dus ook van de goedkopere certificaat boeren de Root Certificate installeren, hoef je geen self-signed te gebruiken.

De certificaat import moet je wel doen voordat je je ActiveSync account wilt koppelen, zeker AutoDiscover zal dan niet werken en dan zal je op z'n minst alle informatie handmatig in te voeren. En dat is inderdaad minder prettig dan alleen SMTP adres met wachtwoord.

[Reactie gewijzigd door dmstork op 18 september 2012 14:51]

toch vind ik het vinkje in android makkelijker en de melding in iOS die je gewoon ok kan geven...
Snap ik, maar het is een stuk minder veilig als je niet goed oplet, laat staan dat leken ermee moeten werken. Weet je namelijk zeker dat het certificaat niet door een MITM is vervangen zoals hier beschreven voor ActiveSync implementaties?
Dit gaat niet alleen voor wp7 mailclients op, juridisch ook naar want:
The man-in-the-middle attack or sometimes called Janus attack[citation needed]) in cryptography and computer security is a form of active eavesdropping
in which the attacker makes independent connections with the victims
and relays messages between them, making them believe that they are talking directly to each other over a private connection,
when in fact the entire conversation is controlled by the attacker.
The attacker must be able to intercept all messages going between the two victims and inject new ones

Bij een 'rekening kraak' (zonder malware op bank / klant 'pc') , is dus 1 van de 13 globale internet nodes de verantwoordelijke (wie anders?) voor de -1 faal dat dit kan, 'mogelijk gemaakt is' ?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014