實際上，在一年多前的一次實驗中，研究職員就曾對MS-CHAPv2加密方案進(jìn)行過攻擊。因為微軟開發(fā)的這項技術(shù)在加密方面存在缺陷，攻擊者可以在Windows Phone手機連接到惡意WiFi接入點時，獲取這部手機的加密域名證書。當(dāng)手機試圖通過CHAPv2驗證時，惡意網(wǎng)絡(luò)的操縱者就可以利用這個加密漏洞，獲得用戶名和密碼。 

    微軟在安全公告中警告稱：“攻擊者可以將由其控制的系統(tǒng)，偽裝成已知WiFi接入點，受害者的Windows Phone手機將自動與這個接入點進(jìn)行身份認(rèn)證，這樣，攻擊者就能截獲有關(guān)受害者加密域名證書的信息。微軟在安全公告中也對那次攻擊做了描述，稱研究職員將這個漏洞與Windows Phone手機用戶的行為習(xí)慣相結(jié)合，導(dǎo)致設(shè)備可自動登錄惡意WiFi網(wǎng)絡(luò)，同時還不首先驗證其數(shù)字證書。設(shè)計了去年攻擊方案的研究職員摩西·馬爾林斯派克(Moxie Marlinspike)說：“假如運用得當(dāng)，這應(yīng)該會成為一種無縫攻擊手段，可用于對付在大多數(shù)企業(yè)環(huán)境下使用的無線企業(yè)證書。不外，微軟并不打算發(fā)布一個補丁來修復(fù)這個安全漏洞。通過利用MS-CHAPv2加密協(xié)議中的安全漏洞，攻擊者可以破譯這些數(shù)據(jù)。