Windows Phone 8にWi-Fi認証の脆弱性。デバイスの設定変更による対応が必要

あるAnonymous Coward 曰く、　Microsoftは4日、Windows PhoneのWi-Fi認証に使われる「PEAP-MS-CHAPv2」の脆弱性が原因で情報漏えいが起こる可能性があるとして、セキュリティアドバイザリを公開した(マイクロソフト セキュリティ アドバイザリ、本家/.)。

この脆弱性を悪用するために攻撃者は偽のアクセスポイントに標的デバイスを接続させ、認証を試行する際に送信されるユーザーの暗号化されたドメイン資格情報を傍受する。さらにPEAP-MS-CHAPv2の脆弱性を利用して暗号化されたドメイン資格情報を復号することで、ユーザーのドメイン資格情報を取得できるという。この脆弱性はPEAP-MS-CHAPv2の暗号自体に存在するため、セキュリティー更新プログラムでは対応できず、Wi-FiアクセスポイントおよびWindows Phoneデバイスの構成を変更する必要があるとのことだ。影響を受けるシステムはWindows Phone 7.8およびWindows Phone 8。

　スラッシュドットのコメントを読む | セキュリティセクション | モバイル | マイクロソフト | バグ | 暗号

　関連ストーリー：
ソフトバンクの「Wi-Fiスポット設定用ソフトウェア」に脆弱性 2013年05月17日
FBIが使用しているスマートフォン監視ツールは「モバイル偽基地局」 2013年04月12日
Wi-Fiの高度な無断使用に対処するには？ 2013年02月23日
無線LANの接続設定規格「WPS」に脆弱性 2012年01月05日
「Free」「Public」などの名前が付いている不審な無線LANに接続してはいけない 2010年11月13日
無線 LAN 暗号化 WPA への改ざん攻撃の実装と評価 2009年08月07日
GPUを使ってWPA/WPA2-PSKパスワードをクラックするセキュリティ製品が発売 2009年01月17日
セキュリティセミナー 「PacSec 2008」でWPAが破られる 2008年11月10日
104ビットWEPは1分あれば破れる 2007年04月04日
WPA-PSK の弱い鍵をクラックするツール登場 2004年11月09日