Fallo de seguridad en Windows Phone permite robar contraseñas

Escrito por Rubén Velasco
Seguridad
3

En las últimas semanas se están encontrando bastantes fallos y vulnerabilidades en Windows Phone que hacen que la gente desconfíe del sistema operativo móvil de Microsoft. Hace unas semanas se anunciaba el fallo de algunos dispositivos HTC tras recibir la actualización de Windows Phone 8. También se detectó un error, ya solucionado, con el almacenamiento en algunos Nokia.

En esta ocasión, la vulnerabilidad detectada tiene que ver directamente con la privacidad de los usuarios. Se ha detectado una vulnerabilidad en el módulo de WiFi que puede permitir a un atacante acceder a credenciales y a los certificados de acceso de cualquier servicio que tengamos asociado con nuestro dispositivo.

La vulnerabilidad se encuentra en la autentificación de las redes WiFi que Windows Phone utiliza para conectarse a redes protegidas. Según podemos leer en el blog de Microsoft, la forma de explotar esta vulnerabilidad es hacerse pasar por un punto de acceso conocido y guardado por la víctima. Al detectar el smartphone dicho punto de acceso, se intentará conectar a él. Una vez suplantada la identidad del punto de acceso se puede conseguir robar varios credenciales y certificados de acceso de las redes corporativas.

Windows_Phone_Wifi

Microsoft no parece tener intención de corregir esta vulnerabilidad ya que no tiene constancia de que este fallo esté siendo utilizado con fines maliciosos y por eso no ha lanzado ningún comunicado al respecto pese a estar advertido. Esta vulnerabilidad puede ser utilizada para robar datos corporativos aunque puede ser utilizada prácticamente para conseguir datos, contraseñas o formularios de cualquier otro usuario sin necesidad de que sea una organización. Robando los certificados podremos conectarnos a redes corporativas vulnerando la seguridad de las empresas.

Los sistemas Windows Phone 7.8 y Windows Phone 8 son vulnerables ante este agujero de seguridad. Por el momento recomiendan asegurarse de la identidad del punto de acceso antes de conectarse a él.

¿Eres usuario de Windows Phone? Cuéntanos tu experiencia.


Noticias relacionadas

Comentarios


3 comentarios
  1. Dluis 07 Ago, 13 17:57

    ese mismo fallo esta en iPhone, Android y Blackberry usan el mismo sistema para el WIFI.

    Responder
    0
  2. El que suscribe 08 Ago, 13 13:56

    Esto es un fallo del protocolo PEAP-MS-CHAPv2 usado para la autenticación en WPA2-Enterprise. La solución radica en habilitar el uso de certificados. Este tipo de autenticación sólo se usa en entornos corporativos y si el IT administrator encargado no es un manta, sabrá desde hace tiempo que siempre hay que usar certificados para evitar los ataques MIDM como este.
    Podríais documentaros un poco antes, para evitar hacer saltar las alarmas a la gente y ahorraros apreciaciones personales como el primer párrafo si lo que realmente queréis es informar de manera objetiva.

    Responder
    0