A Microsoft está alertando os usuários de smartphones com o Windows Phone 7 e Windows Phone 8 que seus aparelhos podem ser facilmente enganados para revelar as credenciais de login de pontos de acesso Wi-Fi corporativos protegidos com o protocolo de segurança WPA2. A vulnerabilidade parece ser baseada em uma falha de segurança conhecida em um protocolo de autenticação usado pela Microsoft, bem como na forma como os aparelhos com Windows Phone se conectam a redes WPA2.
Isso tudo não seria um problema se a Microsoft estivesse usando um padrão criptográfico resistente a ataques, mas o Windows Phone usa um protocolo de autenticação chamado PEAP-MS-CHAPv2, que tem algumas fraquezas criptográficas importantes, que são exploradas por esta vulnerabilidade.
Portanto, depois que se obter as credenciais de conexão do aparelho, ele pode se aproveitar da criptografia fraca para conseguir acesso a todas as informações necessárias para se conectar à verdadeira rede com os mesmos privilégios de usuário do aparelho.
A Microsoft afirmou que não tem planos para corrigir o problema, já que ele é relacionado à criptografia fundamentalmente fraca usada no protocolo PEAP-MS-CHAPv2. Mas ao menos a empresa diz que não está ciente de nenhum caso em que esta vulnerabilidade esteja sendo usada no mundo real.
Como uma forma de contornar o problema, a Microsoft aconselha os departamentos de TI das empresas que exijam que os aparelhos Windows Phone validem um ponto de acesso Wi-Fi verificando seu certificado raiz antes de estabelecer a conexão. A outra opção, segundo a Microsoft, é desligar a interface Wi-Fi dos aparelhos.
fonte:http://pcworld.uol.com.br/noticias/2013/08/06/hotspots-201cmalignos201d-podem-roubar-senhas-de-wi-fi-salvas-num-windows-phone/
Umas são bastante mais difíceis que outras. Tudo depende das maneiras alternativas de chegar a elas. Se essas maneiras alternativas não existirem, só com tentativa e erro, o que pode ser virtualmente impossível dentro de um intervalo de tempo relativamente curto.
