Ernste Sicherheitslücke in Windows Phone 8.1 – Bing kann Deine Passwörter verraten

Im Internet Explorer von Windows Phone 8.1 wurde ein Bug entdeckt, der ein sehr ernstes Sicherheitsrisiko darstellt. Und hier handelt es sich nicht um irgendeinen ominösen exploit, bei dem ohnehin nur professionelle Hacker oder Sicherheitsexperten durchblicken, sondern einen ganz offensichtlichen Fehler, den jeden selber nachprüfen (und entsprechend auch ausnutzen) kann.

So werden Passwörter für Jeden lesbar

Wenn man auf einer Webseite ein Passwort eingibt, so wird dieses bekanntermaßen nicht in Klartext angezeigt, sondern mit Sternchen (manchmal auch Punkten) maskiert. Anstatt “PW1234” wird etwa nur “******” angezeigt. So weit, so gut. Wenn man das Passwort aber markiert und dann über den ganz normalen Such-Button Cortana bzw. Bing aufruft, dann erscheint das Passwort offen und für jeden lesbar als Suchbegriff. Und das ist schlecht.

Das bedeutet zum Beispiel: wenn jemand euer (entsperrtes) Smartphone in die Finger bekommt und auf eine Anmeldeformular geht für das euer Passwort im Browser gespeichert ist, kann er oder sie sich dieses Passwort mit gerade einmal 2 kleinen Klicks im Klartext anzeigen lassen. Und ganz gleich ob das nun ein Fremder ist, der euer verlorenes Handy in der U-Bahn findet, oder etwa ein misstrauischer Partner bzw. Partnerin – der Gedanke kann niemandem behagen.

Berichte, wonach das Problem nicht beim Internet Explorer in der aktuellen Windows 10 Preview für Phones auftritt, kann ich nicht bestätigen. Ich konnte den Fehler dort genauso reproduzieren.

Ich hoffe, dass Microsoft so schnell wie möglich einen Patch veröffentlicht und die Sicherheitslücke schließt. Nicht, dass ich meiner Freundin misstrauen würde, aber das Problem scheint mir prinzipiell sehr ernst zu sein.

via WMPU