Windows Phone, password aziendali a rischio

Microsoft ha pubblicato un bollettino di sicurezza con il quale avvisa gli utenti di un potenziale pericolo per la sicurezza degli smartphone Windows Phone che si collegano alle reti aziendali. A causa di una debolezza di un protocollo di autenticazione, un malintenzionato potrebbe ottenere le credenziali di accesso e quindi rubare informazioni confidenziali. Non essendo una falla di sicurezza, l’azienda non rilascerà una patch, ma consiglia di attivare la verifica del certificato digitale.

Per instaurare una connessione wireless sicura ad una rete protetta dal protocollo WPA2, Windows Phone utilizza il meccanismo di autenticazione PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). Come specifica Microsoft nell’advisory, un malintenzionato potrebbe sfruttare le debolezze crittografiche del protocollo per ottenere le credenziali di dominio della vittima, ovvero nome utente e password.

Il sistema operativo effettua il collegamento automatico ad un access point, senza prima verificare il certificato digitale della rete WiFi aziendale. Windows Phone (e l’utente) potrebbe essere ingannato da un finto punto di accesso che, in realtà, non è parte del network corporate. Finora non è stato segnalato nessun tipo di attacco, tuttavia Microsoft suggerisce alla divisione IT delle aziende di distribuire un certificato root per la validazione dell’access point.

Solo dopo la verifica del certificato, il dispositivo Windows Phone invierà le credenziali di login al server di autenticazione e verrà effettuata la connessione alla rete WiFi. Gli utenti devono eliminare la precedente configurazione wireless e creare una nuova connessione, attivando la verifica del certificato. Se non necessaria, è consigliabile disattivare la connettività WiFi.