Zu Windows Phone 7-Zeiten war Microsofts mobiles Betriebssystem wieder in die Kinderschuhe zurückversetzt worden und die Redmonder mussten von Grund auf selbst grundlegende Smartphone-Funktionen nachreichen. Über die letzten Jahre hat man sich bemüht, diese Lücken zu schließen, jedoch scheint man in einem Fall etwas übersehen zu haben.
Wenn ihr einen PIN-Code einstellen wollt unter Windows 10 Mobile müsst ihr zu den Einstellungen unter Personalisierung > Sperrbildschirm > Anmeldeoptionen navigieren und dort beim ersten Mal euer Kennwort zum Microsoft-Konto eingeben. Wenn ihr den PIN-Code ändern wollt, müsst ihr zur Bestätigung den bisherigen Code eingeben. Um ihn aber komplett zu entfernen, müsst ihr lediglich auf „Entfernen“ drücken. Es ist keine Bestätigung durch die Eingabe eures Microsoft-Konto-Passworts oder wenigstens des bisherigen PIN-Codes erforderlich.
Wir gehen aktuell davon aus, dass es sich hierbei um einen Fehler handelt, den Microsoft schlichtweg bei der Entwicklung übersehen hat. Denn eine wirklich sinnvolle Erklärung für dieses Sicherheitsrisiko fällt uns bislang nicht ein. Schließlich könnten Nutzer dadurch problemlos ausgesperrt werden, indem nämlich ein Angreifer irgendwie an das entsperrte Smartphone kommt und das Konto-Kennwort ändert dank Zugriff auf die Mails.
Es bleibt zu hoffen, dass Microsoft diesen Fehler in den kommenden Versionen von Windows 10 Mobile beheben wird, sodass dieses Risiko nicht mehr besteht. Während es für einen externen Angreifer sicherlich schwierig sein dürfte, an ein entsperrtes Smartphone zu kommen, muss man dieses Risiko nicht zwingend im System haben.
via mspu
