Windows 10 sammelt fleißig Benutzerdaten und überträgt sie an Microsoft. Ausgerechnet dabei verzichtet das Betriebssystem auf einen ansonsten verwendeten Schutz vor falschen Zertifikaten - sensible Daten könnten so zur leichten Beute werden.
meldet heise Security heute. Das Problem ist, dass die TLS-Verbindungen nicht extra geprüft werden, indem nur bestimmte Zertifikate akzeptiert werden, sondern nur bestimmte vorher festgelegte. Das dahinter liegende Prinzip ist das gleiche wie bei HPKP - was wir hier auch anwenden.
Interessanterweise wird diese Technik bei Windows 10 jedoch angewandt - bei den Updates. Persönliche Nutzerdaten scheint Microsoft aber wohl nicht so schützenswert zu finden.
Auch beim Browser Edge gibt es Probleme:
Und auch Microsofts neuer Browser Edge nutzt Zertifikats-Pinning, jedoch nur für Dropbox. Im Test fiel er etwa bei Facebook und ausgerechnet beim Microsoft-eigenen Cloud-Dienst OneDrive auf falsche Zertifikate herein.