實際上，在一年多前的一次實驗中，研究人員就曾對MS-CHAPv2加密方案進行過攻擊。微軟在安全公告中也對那次攻擊做了描述，稱研究人員將這個漏洞與WindowsPhone手機用戶的行為習(xí)慣相結(jié)合，導(dǎo)致設(shè)備可自動登錄惡意WiFi網(wǎng)絡(luò)，同時還不首先驗證其數(shù)字證書。當(dāng)手機試圖通過CHAPv2驗證時，惡意網(wǎng)絡(luò)的操作者就可以利用這個加密漏洞，獲得用戶名和密碼。

　　設(shè)計了去年攻擊方案的研究人員摩西?馬爾林斯派克(MoxieMarlinspike)說：“如果運用得當(dāng)，這應(yīng)該會成為一種無縫攻擊手段，可用于對付在大多數(shù)企業(yè)環(huán)境下使用的無線企業(yè)證書?！毖芯咳藛T戴維?胡爾頓(DavidHulton)也幫助實施了去年針對MS-CHAPv2加密方案的攻擊。

　　不過，微軟并不打算發(fā)布一個補丁來修復(fù)這個安全漏洞。相反，該公司高管建議，在開始身份驗證之前，WindowsPhone8設(shè)備用戶需要一個證書來驗證無線接入點。微軟的安全公告也包含一些操作指導(dǎo)，讓用戶對WindowsPhone設(shè)備做出專門的設(shè)置，以獲得驗證無線接入點可靠性的證書。

　　微軟在安全公告中還建議，用戶在不需要智能手機WiFi連接的時候，最好將其關(guān)閉。微軟表示，由于一份公開報告描述了MS-CHAP上面的一個已知漏洞，該公司最終在周一發(fā)布了安全公告。