E-mailclient WP7 vatbaar voor man in the middle-aanval

De e-mailclient van Windows Phone 7 controleert bij het ophalen van e-mail het ssl-certificaat niet goed genoeg. Daardoor is het OS vatbaar voor man in the middle-aanvallen, waarbij e-mail en logingegevens kunnen worden onderschept.

De fout zit hem in de controle van de domeinnaam waarvoor een ssl-certificaat is uitgegeven, blijkt uit een publieke post op de website van de ict-beveiligingsorganisatie van de Amerikaanse overheid, Us-cert. Windows Phone 7 controleert niet of de domeinnaam in het certificaat, de common name, overeenkomt met de domeinnaam waarmee contact wordt gezocht.

Daardoor zou een aanvaller een man in the middle-aanval kunnen uitvoeren, waarbij de aanvaller verkeer tussen een gebruiker en een server onderschept en omleidt. De aanvaller kan dan een malafide certificaat presenteren en zo de beveiligde gegevens uitlezen. Daarmee kunnen logingegevens of zelfs sessiegegevens worden onderschept, waarschuwt Us-cert.

Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.

Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.

Door Joost Schellevis

Redacteur

Feedback • 18-09-2012 12:0637

18-09-2012 • 12:06

37 Linkedin

Lees meer

Internetbedrijven willen e-mailbeveiliging via smtp verbeteren Nieuws van 23 maart 2016
Gebruikers Windows Phone klagen over snel leeglopen accu Nieuws van 23 augustus 2013
Hackers ondertekenen eigen malware via certificaatserver Adobe Nieuws van 28 september 2012
Onderzoeker ontdekt groot beveiligingsprobleem in Java Nieuws van 26 september 2012
'Microsoft test fix voor instant messaging-bug Windows Phone' Nieuws van 29 december 2011
Microsoft brengt tool uit voor WP7-update Nieuws van 4 april 2011
Yahoo repareert dataverkeerbug Windows Phone 7 Nieuws van 11 maart 2011
Microsoft hervat Windows Phone-update voor Samsung Omnia 7 Nieuws van 3 maart 2011
'Microsoft gaat unlock WP7-smartphones onmogelijk maken' Nieuws van 13 januari 2011
Meer producten en artikelen
Privacy Mobiele besturingssystemen Smartphones Microsoft Beveiliging Bugs Windows Phone

Reacties (37)

-Moderatie-faq
37
35
13
0
0
16
Wijzig sortering
Elijan9
18 september 2012 12:23
Anno 2012 zijn er maar weinig ISPs in Nederland die überhaupt SSL ondersteunen voor SMTP/POP3/IMAP en dan kunnen die logingegevens eigenlijk altijd onderschept worden, zeker via een open accesspoint... :/ Dan is WP7 nog relatief veilig, voor een man-in-the-middle aanval moet je tenminste enige moeite doen...
Rwesterh
@Elijan918 september 2012 12:39
>ISP
>IMAP
Die moet ik nog tegenkomen, helaas...
Evi
@Rwesterh18 september 2012 12:47
Moet je even beter zoeken is mij advies, ze bestaan echt. Uit mijn hoofd weet ik dat Tweak en XS4All IMAP aanbieden.
dmstork
@Evi18 september 2012 14:55
Die van Tweak is zover ik kan zien alleen onbeveiligd, waarbij deze bug uberhaupt geen issue is. Die van XS4all biedt beide.
Mathieu_Hinder
@Rwesterh18 september 2012 13:09
In België biedt Telenet al Imap aan.
dmstork
18 september 2012 13:14
Zo te zien valt Exchange Active Sync hier dus niet onder, een protocol wat hoe dan ook al te prefereren is en zover ik weet ook vaker gebruikt wordt.
Anoniem: 392755
@dmstork18 september 2012 13:39
Daarvoor moet uw mail server wel een exchange zijn.

Gelukkig is dat niet overal het geval.


Maar ze mogen gerust wat doen aan de veiligheid van mail, want de meeste providers is nog gewoon pop3, waar je wachtwoorden in clear text mee doorstuurt (maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund hebben de providers denk ik ook niet veel keuze) .
dmstork
@Anoniem: 39275518 september 2012 13:44
De server hoeft niet perse Exchange te zijn:
  • GMail
  • Hotmail/Outlook.com
  • Kerio Connect
  • Zarafa met Z-Push
en ongetwijfeld vele andere groupware pakketten ondersteunen gewoon ActiveSync, native of met een aanvulling. Dus Exchange zelf is niet perse noodzakelijk. En als men alleen een POP3 of IMAP server heeft, dan heeft GMail en ik meen ook Outlook.com import mogelijkheden.

Genoeg opties om POP3/IMAP/SMTP op de mobiel te vermijden.
Sebazzz
@dmstork18 september 2012 19:57
Als je in Windows Phone een "Google Account" hebt toegevoegd heb je eigenlijk gewoon een Exchange account toegevoegd met een paar speciale parameters. Als je in de instellingen kijkt wijst het ook naar "m.google.com" wat de Exchange-compatible server is van Google. Ongetwijfeld zou het bij Hotmail niet veel anders zijn ;)
mjtdevries
@Anoniem: 39275518 september 2012 15:28
maja zolang mensen met oude brol blijven rondlopen / werken die geen tls ondersteund
Niet alleen oude zooi heeft daar last van. De meest recente versie van Lotus Domino ondersteunt geen TLS1.0 of later voor SMTP.
LCP
18 september 2012 12:08
Als het alleen Windows Phone 7.0 betreft, is de schade zeer beperkt gezien het update model van Windows Phone alle toestellen tegelijkertijd van de update voorziet. Bijna alle WP toestellen draaien daarom inmiddels 7.5.
Luuk1983
@LCP18 september 2012 12:11
Dat valt nog te bezien, op dit moment is dat in ieder geval nog niet duidelijk:
Microsoft heeft aangegeven de bug, die zich voordoet bij pop3, imap en smtp, te zullen oplossen. Het is onduidelijk of alleen Windows Phone 7 is getroffen, of ook de incrementele update Windows Phone 7.5.
Als het alleen WP7.0 betreft heb je helemaal gelijk natuurlijk.

[Reactie gewijzigd door Luuk1983 op 18 september 2012 12:14]

photofreak
18 september 2012 12:29
Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die gebruikers kan infecteren als ze naar een besmette website surfen. Een oplossing is nog niet voorhanden.
Valt wel mee, in 2011 werden er 100 lekken gedicht (tot aan MS11-100) dat komt neer gemiddeld zo'n 2 lekken per week, maar er waren ook weken dat er echt monsterpatches werden uitgebracht en ook weken dat er hooguit een paar kleine lekken werden gedicht. Het verschil zit hem erin dat sommige lekken voor de uitvoer van willekeurige code de media wel halen en ook weer genoeg niet. En dat ligt niet aan het feit dat het een 0day is, aangezien er genoeg 0day lekken worden gebruikt tegen grote organisaties, overheden en defensiebedrijven die de grote media niet halen.
Anoniem: 80466
18 september 2012 12:17
Het is op beveiligingsgebied geen goede week voor Microsoft; eerder bleek al dat Internet Explorer een zero day-kwetsbaarheid bevat, die
Het is ook een beetje triest dat Tweakers zich laat verleiden om nu ook vunerabilities met een rating van 5,4 een nieuwsartikel te geven.
http://web.nvd.nist.gov/v...tail?vulnId=CVE-2012-2993

Het andere zero-day lek was een 9,7. Dat was inderdaad wel een nieuwsartikel waard.

[Reactie gewijzigd door Anoniem: 80466 op 18 september 2012 12:18]

CMG
@Anoniem: 8046618 september 2012 13:22
De kans dat je getroffen werd door Flame was ook nihil, betekend dat dat het niet als nieuws gebracht mag worden?

Dit is gewoon een goed artikel.
Anoniem: 80466
@CMG18 september 2012 13:35
De CVSS rating heeft niks te maken met de kans dat je getroffen werd maar met de ernst van het lek. Een 5,4 lek is een veel minder ernstig lek waarvan er elk jaar honderden gevonden in allerlei soorten software. Ook vandaag was er nog bijvoorbeeld een 6.7 gepubliceerd door us-cert.
http://www.kb.cert.org/vuls/id/591667

[Reactie gewijzigd door Anoniem: 80466 op 18 september 2012 13:44]

notsonewbie
18 september 2012 12:49
VRAAG ! m.b.t. bankieren en de klant de alles overkopelende verantwoording (en dus minder vergoedingen) opleggen...

Is bij zo een man in the middle attack iets waarvoor je eigen pc/laptop enz. NIET per se voorzien hoeft te zijn van, enige malware ?

En andersom, als een man in the middle-aanval succes heeft, is dan ook de bank niet/minder verantwoordlijk, maar eigenlijk microsoft ? (alleen (?) als men IE gebruikte uiteraard!)
Anoniem: 126717
@notsonewbie18 september 2012 12:59
Op zijn eenvoudigst:
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Crahsystor
@notsonewbie18 september 2012 13:01
Verantwoordelijk is afhankelijk van de situatie, maar bij een MitM aanval hoeft er op beide systemen niet perse malware te draaien. MitM vervangt een knooppunt zeg maar. Ofwel je verkeer gaat via het systeem van de aanvaller. Google voor meer info
Plopeye
18 september 2012 14:31
En dit terwijl het koppellen met een exchange en een self signed cert. op windowsphone een drama is...

erg slordig...
dmstork
@Plopeye18 september 2012 14:47
Het installeren van certificaten is in mijn ogen niet moeilijk, in het .cer formaat mailen naar je Live ID mailadres (die je heel waarschijnlijk al hebt ingesteld). Bijlage downloaden en dubbelklikken. Of je zet het certificaat op een webserver en browst er naar toe met Mobile IE. WP7 ondersteund het CER, P7B of PFX formaat. Zie ook hier [pdf].

Op deze manier kan je dus ook van de goedkopere certificaat boeren de Root Certificate installeren, hoef je geen self-signed te gebruiken.

De certificaat import moet je wel doen voordat je je ActiveSync account wilt koppelen, zeker AutoDiscover zal dan niet werken en dan zal je op z'n minst alle informatie handmatig in te voeren. En dat is inderdaad minder prettig dan alleen SMTP adres met wachtwoord.

[Reactie gewijzigd door dmstork op 18 september 2012 14:51]

Plopeye
@dmstork18 september 2012 14:56
toch vind ik het vinkje in android makkelijker en de melding in iOS die je gewoon ok kan geven...
dmstork
@Plopeye18 september 2012 15:10
Snap ik, maar het is een stuk minder veilig als je niet goed oplet, laat staan dat leken ermee moeten werken. Weet je namelijk zeker dat het certificaat niet door een MITM is vervangen zoals hier beschreven voor ActiveSync implementaties?
notsonewbie
18 september 2012 16:29
Dit gaat niet alleen voor wp7 mailclients op, juridisch ook naar want:
The man-in-the-middle attack or sometimes called Janus attack[citation needed]) in cryptography and computer security is a form of active eavesdropping
in which the attacker makes independent connections with the victims
and relays messages between them, making them believe that they are talking directly to each other over a private connection,
when in fact the entire conversation is controlled by the attacker.
The attacker must be able to intercept all messages going between the two victims and inject new ones

Bij een 'rekening kraak' (zonder malware op bank / klant 'pc') , is dus 1 van de 13 globale internet nodes de verantwoordelijke (wie anders?) voor de -1 faal dat dit kan, 'mogelijk gemaakt is' ?
Lummer
@snowie8118 september 2012 12:17
Zoals bij elk software product van elk random software house.
snowie81
@Lummer18 september 2012 12:18
precies alleen bij MS wordt het altijd zo lekker uitgebreid naar buiten gebracht :)
Martinspire
@snowie8118 september 2012 12:38
Meestal ook omdat ze aardig wat impact kunnen hebben. Als linux hetzelfde probleem had, dan was dat ook belangrijk. Voor een simpele mediaspeler is het al minder belangrijk, want die doelgroep is gewoon een stuk kleiner en je kunt er vaak ook minder mee.
hiostu
@snowie8118 september 2012 13:11
Deze zelfde fout is al eerder in Android en iOS geconstateert.
dmstork
@hiostu18 september 2012 14:59
Nee, niet helemaal. Hoewel het wel een OS probleem was, was het zover ik weet alleen gerelateerd aan Exchange ActiveSync. Het echte probleem was dat de MITM attacker een remote wipe kon doorvoeren, naast dat hij/zij jouw mails en credentials kon achterhalen.

/edit: dit bericht dus.

[Reactie gewijzigd door dmstork op 18 september 2012 15:03]

Soldaatje
@snowie8118 september 2012 12:17
Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed. :)
arthur-m
@Soldaatje18 september 2012 12:28
Zetten ze er een backdoor in speciaal voor de overheid, is het weer niet goed. :)
Toch een kleine lol!
Anoniem: 126717
@Anoniem: 35692018 september 2012 13:16
Wat is dat nu weer voor onzin?
Windows Phone 7 controleert niet (...) maar dat kan net zo goed een bug zijn. En wat valt er te vergoeden? Is er zelfs al bekend dat er iemand getroffen is hierdoor?
spoonman
@Anoniem: 35692018 september 2012 13:47
Als ze dat moeten doen voor MS, moeten ze dat voor alle bedrijven doen, en dan gaan er heel wat op de fles gaan vrees ik.
bwerg
@Anoniem: 35692018 september 2012 16:25
wegens een dik onvoldoende geteste producten op de markt te gooien
Heb je enig inzicht in hun testprocedures dan? Als je denkt dat het wat zegt dat er lekker in een modern OS worden gevonden moet ik je teleurstellen, als je zo'n complex stuk software zonder enige bugs op de markt wilt brengen zul je toch een jaartje of 100 moeten testen. Zelfs OS'en die al 20 jaar op de markt zijn zullen doorgaans nog ongepatchte bugs bevatten, waaronder mogelijk beveiligingslekken. Dus als je graag nog even wacht voordat je van windows 95 gebruik kan maken tot het echt 100% bugvrij is, ga je gang. Ga ik gewoon windows 7 gebruiken met regelmatige updates. Je hoeft het niet te gebruiken, als je denkt dat je er zo'n risico mee loopt (wat, neem ik aan, in de algemene voorwaarden is afgedekt waar je akkoord mee gaat als je het gebruikt, dus een vergoeding heb je daarmee zelf al uitgesloten).

Er zijn ook wel OS'en die 100% bewezen bugvrij zijn hoor. Maar dat zijn academische projecten en geen commerciële producten, en dat zijn dan ook slechts zeer kleine kernels zonder enige vorm van luxe features. Die wil je voor dagelijks gebruik dus echt niet hebben.

[Reactie gewijzigd door bwerg op 18 september 2012 16:30]

Anoniem: 449164
@Anoniem: 35692018 september 2012 22:29
Volgens mij is Android nog erger hoor.

En als er nog geen misbruik van is gemaakt zijn er geen gedupeerden.

En dan nog, bij iOS kan je ook jailbreaken, bij Windows Phone is er nou ook een hack gevonden, als er gewoon snel een update voor naar buiten wordt gebracht is er niks aan de hand.

En trouwens, denk je dat ze dit eerst aan de pers vertellen en dan pas aan Microsoft? Ik denk dat Microsoft hier al een week of in ieder geval zoiets van op de hoogte is.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee