Windows 10: Nutzerdaten-Übertragung kann mitgelesen werden

15. August 2015, 17:05
82 Postings

Bewusster Verzicht auf Schutz vor falschen Zertifikaten – Sensible Informationen können somit ausgelesen werden

Bei der Übertragung von sensiblen Nutzerdaten von Windows 10-Rechnern in die Microsoft-Cloud verzichtet das Betriebssystem auf einen Schutz vor falschen Zertifikaten. Wie heise.de berichtet, ist es dadurch Dritten möglich, an diese Informationen zu gelangen. Zwar wird eine SSL-Verbindung verwendet, allerdings wird bei der Übertragung von Nutzereinstellungen, Passwörtern und Telemetriedaten lediglich geprüft, ob das vorgezeigte Zertifikat von einer im System hinterlegten Zertifizierungsstelle stammt. Ist dies der Fall, wird das Zertifikat ohne weitere Überprüfung akzeptiert.

Man-in-the-Middle-Angriff

Dadurch ist es möglich, per Man-in-the Middle-Angriff die Daten mitzulesen, indem ein Zertifikat vorgewiesen wird, das von einer dem System bekannten Zertifizierungsstelle stammt. Dieses Sicherheitsproblem bei der SSL-Verschlüsselung ist seit längerem bekannt, Schutz vor einem derartigen Angriff bietet das sogenannte Certificate Pinning. Dieses erkennt ein gefälschtes Zertifikat. Sämtliche Cloud-Dienste von Windows 10 würden auf das Certificate Pinning verzichten und somit angreifbar sein.

Microsoft kennt SSL-Problematik

Microsoft ist sich der Problematik jedoch bewusst, verwendet das Windows Update die Technik. Auch der neue Browser Edge nutzt Certificate Pinning, jedoch nur für Dropbox. Im Test von Heise.de war es bei Facebook und beim hauseigenen Dienst OneDrive möglich, falsche Zertifikate unterzujubeln. Die Konkurrenz-Browser von Mozilla und Google setzen bereits längerem auf die Technik. Im Falle von Edge ist es per Man-in-the-Middle-Angriff möglich die Websession zu übernehmen und einen Denial-of-Service-Angriff (DoS) zu starten. Wurde "Sync Settings" aktiviert, ist es sogar möglich Cookies, Nutzernamen und Passwörter auszulesen.

Sammelwut kann begrenzt werden

Auch die Sprachassistentin Cortana lässt sich austricksen. So liefert sie sämtliche Programmaufrufe des Benutzers bis hin zu Sprach- und Schriftproben. Microsoft gab bisher keine Stellungnahme zu der Problematik ab. Schützen kann man sich aktuell nur durch Eingriffe in den Datenschutzeinstellungen. Dort kann die Sammelwut von Windows 10 zumindest eingeschränkt werden. (dk, 15.08.2015)

  • Microsoft verzichtet bei der Übertragung von Nutzerdaten auf ein SSL-Zusatzfeature. Bei der eigenen Update-Funktion wird diese verwendet.
    foto: reuters/mukoya

    Microsoft verzichtet bei der Übertragung von Nutzerdaten auf ein SSL-Zusatzfeature. Bei der eigenen Update-Funktion wird diese verwendet.

Share if you care.