Windows 10: Nicht ausreichender Schutz von Benutzerdaten vor MITM-Angriffen

rugk

Android 2.0 Éclair
Beiträge
1.013
Ort
Deutschland
Windows 10 sammelt fleißig Benutzerdaten und überträgt sie an Microsoft. Ausgerechnet dabei verzichtet das Betriebssystem auf einen ansonsten verwendeten Schutz vor falschen Zertifikaten - sensible Daten könnten so zur leichten Beute werden.
meldet heise Security heute. Das Problem ist, dass die TLS-Verbindungen nicht extra geprüft werden, indem nur bestimmte Zertifikate akzeptiert werden, sondern nur bestimmte vorher festgelegte. Das dahinter liegende Prinzip ist das gleiche wie bei HPKP - was wir hier auch anwenden.
Interessanterweise wird diese Technik bei Windows 10 jedoch angewandt - bei den Updates. Persönliche Nutzerdaten scheint Microsoft aber wohl nicht so schützenswert zu finden.

Auch beim Browser Edge gibt es Probleme:
Und auch Microsofts neuer Browser Edge nutzt Zertifikats-Pinning, jedoch nur für Dropbox. Im Test fiel er etwa bei Facebook und ausgerechnet beim Microsoft-eigenen Cloud-Dienst OneDrive auf falsche Zertifikate herein.
 
Oben