Windows 10 ist noch gar nicht erschienen, da machen schon die ersten Informationen über eine Sicherheitslücke in diesem System die Runde, die typisch ist für Microsoft: die Sicherheit wird der Bequemlichkeit geopfert, das System ist broken by design.
Konkret geht es um eine Funktion in Windows 10, die sich auf die Verteilung von WLAN-Passwörtern bezieht. Die Funktion heißt Wi-Fi Sense und ist standardmäßig aktiviert. Sie ist auch bereits für Windows Phone 8.1 erhältlich.
WiFi-Sense – Eine Automatik für WLAN-Missbrauch
WiFi Sense hat einige mit WLAN verbundene Aufgaben. Besonders ins Auge fällt, dass diese Funktion die Passwörter bekannter WLANs automatisch mit Kontakten z.B. aus outlook.com, Skype und -dies allerdings nach manueller Bestätigung- Facebook abgleicht. Das bequeme Ziel dieser Funktion ist, dass bekannte Personen beim Besuch im eigenen WLAN zu Hause das Passwort nicht mehr erfragen müssen, sondern es ihnen bereits vorliegt.
Das Missbrauch-Potential dürfte auf der Hand liegen, vor allem im Firmenumfeld. Alle Kunden, die im E-Mail-Adressbuch gespeichert sind und ebenfalls Windows 10 einsetzen, haben vollautomatisch Zugriff auf mein WLAN? Und umgekehrt? It’s not a bug, it’s a feature…
Zwar behauptet Microsoft, das Passwort werde zur Bereitstellung dieser Funktion verschlüsselt auf Microsoft-Server übertragen (was an sich schon datenschutzrechtlich bedenklich ist) und ebenso verschlüsselt auf die Geräte der Kontakte, aber spätestens dort muss das Passwort unverschlüsselt oder leicht entschlüsselbar vorliegen, da das System es nur entschlüsselt zum Abgleich mit dem WLAN-Router einsetzen kann. Es werden sich sicher schnell findige Leute auf die Suche nach dem so gespeicherten Passwort machen. Große Probleme sind damit im Grunde schon vorprogrammiert.
Immerhin soll eine Verbindung, die mit einem auf diese Weise gespeicherten Passwort hergestellt wird, standardmäßig nur Internet-Zugriff, aber keinen Zugriff auf das Netzwerk und seine Freigaben ermöglichen. Bleibt abzuwarten, wie leicht das auszuhebeln ist.
Geradezu lächerlich wirkt die von Microsoft angebotene Möglichkeit, ein WLAN vor dieser Funktion zu verstecken: Man soll an die Netzwerkkennung (SSID) die Zeichenfolge _optout anhängen. Derart benannte Netzwerke soll die Funktion ignorieren. So wird also aus DEM_HORST_SEIN_NETZWERK dann DEM_HORST_SEIN_NETZWERK_optout. Wer braucht noch Satire in einer solchen Realität?
Konkret heißt das also: Als Besitzer eines WLANs muss ich mir auch dann, wenn ich selbst Windows 10 gar nicht einsetze, gut überlegen, ob ich einem Windows 10-Benutzer tatsächlich mein WLAN-Passwort gebe, weil es sich sonst gegebenenfalls unter dessen Kontakten ausbreitet wie… eben wie Schadsoftware.
Update: Immerhin scheint es nach neueren Informationen so zu sein, dass man nur teilen kann, wenn man das Passwort manuell eingibt, so dass das Passwort nicht von jemandem weitergegeben werden kann, der es selbst nur mittels WiFi-Sense erhalten hat. Es verbreitet sich also wohl nicht um die Welt…
Zwar fragt WiFi-Sense wohl bei der Verbindung mit dem Netzwerk ab, ob diese Information geteilt werden darf, aber kann man durchschnittlichen Windows-Anwendern zutrauen, hier die einzige vernünftige Antwort zu wählen, nämlich „nein“? Oder gar erwarten, dass sie diese Unsicherheitsfunktion von vornherein selbstständig abschalten?
Zugabe: Fröhliches In-die-Falle-Tappen
Neben der beschriebenen Passwortverbreitungsmethode hat WiFi-Sense noch eine weitere sehr bequeme Hilfsfunktion für Opfer und solche, die es werden wollen: automatisches Einloggen in offene Netzwerke mit ebenso automatischer Annahme von Nutzungsbedingungen. Es kann sogar so konfiguriert werden, dass es den Namen, die E-Mail-Adresse und die Telefonnummer des Besitzers ebenfalls automatisch verrät. Und die besonderen Gefahren öffentlicher Netzwerke sind bereits des öfteren hier und anderswo thematisiert worden.
Das sind zwar Funktionen, die beim Setup des Systems zum standardmäßigen Ein- oder Ausschalten angeboten werden sollen, aber Hand aufs Herz: Welcher Durchschnittsanwender kann die Tragweite solch eines Funktionsangebots wirklich korrekt abschätzen?
Wieder einmal zeigt sich also, dass Microsoft die Bequemlichkeit der Anwender wichtiger ist als deren Sicherheit. Entscheidungen von großer Tragweite für die Sicherheit werden überforderten Anwendern überlassen. Und das Risiko des Missbrauchs tragen in diesem Falle alle WLAN-Betreiber, selbst wenn diese Windows 10 gar nicht einsetzen.
