Merkwürdigkeiten bei Microsofts Office-Aktivierungsseite für Mobilgeräte

Microsoft verlangt, dass seine Produkte nach der Installation aktiviert werden. Da es bei der telefonischen Aktivierung von Microsoft Office momentan Probleme gibt, hat ein Leser eine alternative Webseite zur Telefonaktivierung im Blog gepostet. Ich habe mir diese Seite mal genauer angeschaut und bin auf weitere “Merkwürdigkeiten” bei der Aktivierung über Mobilgeräte gestoßen, für die ich momentan keine wirkliche Erklärung habe. Drücken wir es so aus: Das ganze stellt sich für mich obskur bis unprofessionell dar. Hier ein paar Informationen, was mir aufgefallen ist.


Anzeige

Irgendwie scheint Microsoft (zumindest von mir gefühlt) den Überblick zu verlieren, was die Aktivitäten hinsichtlich der Produktaktivierung betrifft. Bei Windows 7 fallen mir in Microsoft Answers immer wieder Nutzer auf, denen die Aktivierung eines Systems verweigert wird. Das Ganze ausschließlich auf “Raubkopien” zu schieben, erscheint mir etwas zu einfach. Aber da habe ich nichts belastbares an Details (und Hinweise aus anonymen Kanälen mag ich nicht publizieren, speziell, wenn nichts verifizierbar ist). Leider gibt es auch bei Microsoft Office Ungereimtheiten, die mich hier im Blog bereits ein paar Tage beschäftigen. Nun kommt eine neue Erkenntnis hinzu.

Zum Hintergrund: Telefonische Office-Aktivierung scheitert

Ich hatte bereits Anfang Januar 2017, nach einem Leserhinweis, im Blog-Beitrag Office 2010: Telefonaktivierung eingestellt? – Merkwürdigkeit II auf das Problem hingewiesen. Wer Microsoft Office 2010 neu installieren muss, erhält bei der telefonischen Aktivierung den Hinweis „Die telefonische Aktivierung wird für dieses Produkt nicht mehr unterstützt“.

Office 2010-Aktivierungs-Assistent

Der Artikel hat etwas Wellen geschlagen und wurde zwischenzeitlich fast 10.000 Mal abgerufen. Es scheint also nicht nur ein Nutzer betroffen zu sein – und scheinbar tritt das Problem auch bei Microsoft Office 2013 und 2016 auf. Mittlerweile hat Microsoft eingeräumt, dass ein Problem mit der telefonischen Aktivierung besteht und dass man an der Bearbeitung arbeitet (siehe mein Nachtrag im Artikel Neues zur Office 2010-2016-Telefonaktivierung), Auf der Webseite Aktivieren von Office 365, Office 2016 oder Office 2013 ist der Hinweis auch zu finden und es sind die Schritte zur Aktivierung beschrieben. Aber die Geschichte geht noch weiter.

Da gab es den Leser-Tipp: Mobilgeräte-Aktivierungsseite hilft …

In den Kommentaren zum Office-Aktivierungsartikel wurde von Benutzer JaDz dankenswerter Weise ein Link zur Webseite http: // bit.ly/2cQPMCb gepostet. Der verkürzte Bit.ly-Link verweist auf die Webseite

https: // microsoft.gointeract.io/mobileweb/…

auf der sich Microsoft-Produkte nach wie vor per Mobilgerät aktivieren lassen. Hier ist ein Screenshot der betreffenden Seite.


Werbung

Tippt man auf einen der Einträge, erscheint im Aktivierungsfenster ein Ziffernfeld, über welches man die Installations-ID eintragen kann (siehe folgender Screenshot). Dann bekommt man den Aktivierungscode angezeigt. Die Webseite gibt auch Hilfestellung bei der Aktivierung von Windows 10 und kann wohl verschiedene Produkte an Hand der Produkt-ID aktivieren. Die Rückmeldungen in den Kommentaren zeigen, dass das Ganze funktioniert.

Merkwürdigkeiten und eine Warnung von mir

Ich hatte den obigen Link, der vom Benutzer gepostet wurde, nicht weiter beachtet. Im Rahmen der Nachbearbeitung für den Blog-Beitrag Neues zur Office 2010-2016-Telefonaktivierung wurde ich erneut auf den Link aufmerksam und habe die Seite angesehen. Die Webseite ist zwar in Deutsch (kann aber wohl auch in anderen Sprachen abgerufen werden) und kommt sogar mit SSL-Verschlüsselung daher. Wie oben erwähnt, bestätigen Rückmeldungen anderer Benutzer auch, dass die Aktivierung von Microsoft Office über die Webseite funktioniert.

Aber die Webseite „Self Service for Mobile“ (siehe obiger Screenshot) wird im Google Chrome-Browser als unsicher ausgewiesen. Das hat natürlich meine Aufmerksamkeit geweckt und ich habe genauer nachgeschaut. Was ich dann gefunden habe, verursachte mehr als Stirnrunzeln.

  • Als erstes fällt auf, dass es sich nicht um eine Webseite der Domain microsoft.com handelt – hätte ich bei einer Aktivierungsseite erwartet.
  • Die Site enthält mixed Content (Bilder werden unverschlüsselt übertragen) und der Inhalt wird über Cloudflare ausgeliefert (soll wohl sicherstellen, dass auch höhere Aufrufzahlen gestemmt werden können).
  • Das bemängelte Bild ist das Microsoft-Logo, welches im Kopf der Seite eingeblendet wird. Dieses wird unverschlüsselt von einer Microsoft-Seite in die Mobilgeräte-Aktivierungsseite eingebunden – daher der mixed Content.
  • Das Zertifikat ist von Go Daddy (US-Hoster) ausgestellt und läuft aktuell im März 2017 aus – dürfte aber verlängert werden.

Das alleine ließ bei mir alle Alarmglocken schrillen – kenne ich diese Ansätze doch von Phishing-Sites. Speziell das Einbinden von Logos aus Unternehmenswebseiten wird typischerweise beim Phishing verwendet. Auch Go Daddy ist mir in diesem Zusammenhang schon mal negativ aufgefallen, da dort kompromittierte Server gehostet wurden und Go Daddy auf meine Takedown-Hinweise nicht reagierte. Ich habe dann weiter gegraben:

  • Da gibt es eine Subdomain microsoft, die aber nicht auf eine Microsoft-Domain sondern auf gointeract.io verweist. Mysteriös, bis zum geht nicht mehr.
  • Über den Domain-Besitzer von gointeract.io bekommt man keine Details bei einer WhoIs-Abfrage. Ich habe verschiedene Seiten bemüht und folgendes angezeigt bekommen.
Domain : gointeract.io
Status : Live
Expiry : 2021-03-14

NS 1   : ns-887.awsdns-46.net
NS 2   : ns-1211.awsdns-23.org
NS 3   : ns-127.awsdns-15.com
NS 4   : ns-1980.awsdns-55.co.uk

Owner OrgName : Jacada

Check for 'gointeract.sh' --- 
Check for 'gointeract.ac' --- 

Immerhin ist die Domain bis 2021 registriert. Aber der Owner OrgName Jacada sagte mir gar nichts und eine reine Suche nach dem Namen förderte beim ersten Versuch auch wenig Belastbares zu Tage (Details dazu weiter unten). Auch sonst sieht die Mobilgeräte-Aktivierungseite recht „windig aus“. In der linken unteren Ecke des Browserfenster gibt es einen nicht lesbaren Text. Klickt man auf den betreffenden Hyperlink, wird man zu Microsoft Frankreich weiter geleitet.Auf der englischsprachigen Seite geht es zu Microsoft USA.

Bei mir kam dann der Verdacht auf, dass es (wegen der Subdomain microsoft.***) eine Phishing-Site sein könnte, die nur die Keys abgreifen soll. Daher habe ich diesen Kommentar mit einer Warnung, der Webseite nicht zu trauen, verfasst. Später kam mir der Verdacht, dass die Site inoffiziell von französischen Microsoft Mitarbeitern aufgesetzt wurde, um das Aktivierungsproblem zu lösen.

Das sind dann so Tage, wo Du dich als Blogger fragst “Mist, hast Du was übersehen und Leute in eine Falle gelockt”. Also habe ich ich den Ersteller dieses Kommentars per Mail über meinen Kommentarnachtrag informiert und gleichzeitig den Bit.ly-Link inaktiv gesetzt (als Webmaster kann ich das und auch Kommentare so einpflegen, dass sie an der richtigen Stelle einsortiert werden).

Ein Benutzerhinweis: Der Link kommt von “Microsoft” …

Benutzer JaDz hat sich sofort gemeldet und wies in einem weiteren Kommentar darauf hin, dass man die per Bit.ly verkürzte URL per SMS zugesandt bekomme, wenn man bei der Telefonaktivierung von Microsoft Office angibt, dass man per Mobilgerät aktivieren möchte. An dieser Stelle mein ausdrücklicher Dank für die schnelle Reaktion – das mit der SMS hatte ich so nicht mitbekommen. Es ist also etwas “offizielles” von Microsoft, was da über Bande über die Website microsoft.gointeract.io abgewickelt wird.

Noch ein wenig weiter gegraben

An dieser Stelle war mir irgendwie klar, dass da kein Phisher hinter steckt, sondern irgend etwas von Microsoft an Funktionalität eingebracht wird. Da ich schon mal begonnen hatte, ein paar Zeilen für einen Blog-Beitrag zusammen zu tragen, habe ich nochmals meine Nase in die Materie gesteckt.

Der Owner OrgName Jacada hatte mir bei der ersten Suche nichts vernünftiges ausgeworfen. Also habe ich das Web mal nach Jacada und Microsoft befragt und wurde sofort mit einem scheinbar passenden Treffer fündig. Die Site jacada.com (siehe obiger Screenshot) gehört offenbar einen Dienstleister, der für diverse Kunden aktiv ist.

Ich habe dann mal geschaut, aber Microsoft nicht als Kunden gefunden. Aber der Name wird von der Google Suche sofort in Verbindung mit Microsoft ausgeworfen. An dieser Stelle muss ich jetzt ein wenig Phantasie spielen lassen. Es ist bekannt, dass Microsoft seit einiger Zeit nachgelagerte Dienstleistungen an externe Firmen auslagert.

Ich gehe nun davon aus (möglicherweise liege ich daneben), dass da im Umfeld von Jacada jemand die Mobilgeräte-Aktivierungsseite aufgesetzt hat. Über Ajax werden wohl die Microsoft Aktivierungsserver angesprochen und die Aktivierung wird abgewickelt. Und wer bei einer Aktivierung angibt, ein Mobilgerät zu verwenden, bekommt den Link zur oben genannten Webseite per SMS übermittelt. So weit so schlecht.

Garagenklitsche oder Weltfirma?

Bleibt die finale Betrachtung der ganzen Angelegenheit. Mal Hand aufs Herz: wir reden bei Microsoft über einen Weltkonzern, der hochsichere Cloud-Infrastrukturen betreiben will. Da ist es schon nicht schön, wenn deren Aktivierungskette für Office-Produkte bricht. Ein zahlender Kunde, der sein Office regulär gekauft hat, ist mit Recht sauer, wenn er die Meldung erhält, dass die telefonische Aktivierung eingestellt wurde.

Die bisherigen Erläuterungen auf Microsofts Webseiten, dass sich die Aktivierungsprobleme auf Office 2016 beziehen, sind ebenfalls inkonsistent (die Probleme gibt es auch bei anderen Office-Versionen).

Was in meinen Augen aber gar nicht geht (sofern die Aktivierungsseite von Microsoft stammt): Die Art, wie die Webseite zur Produktaktivierung per Mobilgerät aufgesetzt wurde. Wir reden von einer Webseite, in der sensitive Informationen wie eine Installations-ID zur Aktivierung eingetragen werden soll und über die ein Aktivierungscode zurückgemeldet wird. Da müssten eigentlich höchste Sicherheitsstandards gelten. Eine von einem Drittanbieter gehostete Webseite, die zudem noch mixed Content bereitstellt, ist ein Fall von “höchst obskur” bis “geht gar nicht”.

Momentan lasse ich das Ganze einfach mal so, wie hier beschrieben, im Raum stehen und wundere mich lediglich. Möglicherweise habe ich ja einen Denkfehler gemacht und etwas übersehen – dann könnte ihr ja einen Kommentar hinterlassen. Ich werde auch mal bei Microsoft Deutschland nachfragen, was das Ganze zu bedeuten hat.

Addendum: Der ursprüngliche Link ist inzwischen gebrochen. Ein englischsprachiger Blog-Leser hat mir einen neuen Link ) gepostet. Der Link zeigt auf eine Webseite, wo man über Product Activation sein Microsoft Office aktivieren kann. 

Ähnliche Artikel
Windows 10: Reboot unvollständig? – Merkwürdigkeit I
Office 2010: Telefonaktivierung eingestellt? – Merkwürdigkeit II
Windows 7/8.1: Treiberaktualisierung killt System – Merkwürdigkeit III
Neues zur Office 2010-2016-Telefonaktivierung


Anzeige

Dieser Beitrag wurde unter Allgemein, Office, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Kommentare zu Merkwürdigkeiten bei Microsofts Office-Aktivierungsseite für Mobilgeräte

  1. Ja das sieht mir schon sehr merkwürdig aus, hast du mal eben diesen Link bei google eingegeben.
    Gerade dieses Video https://www.youtube.com/watch?v=-7pT5o8UjFY

  2. PJames sagt:

    Danke für deinen Bericht. Ich habe gerade auch über diese Webseite recherchiert und bin zu nicht wirklich sicher gewesen, auch jetzt noch nicht, dass es sich wirklich um eine offizielle MS Seite handelt. Habe noch keine offizielle MS Aussage hierzu gefunden.
    Tatsächlich bekommt man aber diesen gointeract.io Link per SMS von Microsoft zugesendet, wenn man im telefonischen Aktivierungsmenü die Aktivierung per SMS-Link-Zusendung auswählt.

  3. A_Hynkel sagt:

    Rein zur Ergänzung: Über die Seite lassen sich auch WIN10 Keys aktivieren. Test selbst durchgeführt.

  4. MatzeG sagt:

    Hi,

    hast du schon Neues herausgefunden zu dem Thema?

    Uns wurde im Beruflichen Umfeld dieser Link vom Softwarelieferanten zugespielt.
    Die Aktivierung funktioniert, allerdings wirkt das Ganze sehr verdächtig.
    Bei meinen Recherchen bin ich, unabhängig von diesem Blog, auf das selbe Ergebnis gekommen. Mixed Content, MS Logo von extern eingebunden, sieht alles extrem nach fishing aus.

    Jedoch hat mich der Fakt, dass der Link per SMS kommt wieder vom Fishing abgebracht.

    Ich bin gerade etwas unschlüssig, ob ich dieses Verfahren anwenden soll.

  5. Werbung

  6. Freaq-JaW sagt:

    Nur zur Bestätigung:
    Office 16 Home & Business Key offiziell bei einem “Unterhändler” von der Rakuten Seite als “gebraucht” gekauft, Bestätigungsmail inkl. Key und Link zur Anleitung und zum Download erhalten, laut Anleitung soll ich nach der Installation auf die o.g. Seite gehen und bekanntes Prozedere durchexerzieren.

    Gesagt getan, alles geklappt wie beschrieben.
    Mulmiges Gefühl bleibt,
    zumal ich in der Anleitung des Unterhändlers die folgende Anweisung bekomme:
    “Antworten Sie auf die Frage auf wie vielen Computer Office installiert ist mit “0” (Null). ”
    [ja, genau so, auf wie vielen “Computer”]

    Da ich beruflich den Umgang mit MS-Lizenzen auch eher komplett anders kenne, speziell die Abwicklung eines “Besitzerwechsels” einer Lizenz, kommt mir der Missbrauch der “Self Service for Mobile” Aktivierungsseite schon recht komisch vor.

    Bei einem vorherigen Kauf einer solchen “gebrauchten” Lizenz aus der selben Quelle hat ein Arbeits-Kollege die Anleitung ignoriert und klassisch bei MS angerufen und die Installations-ID Blöcke durchgegeben. Der freundliche Aktivierungs-Mensch am Telefon meinte dann “na da müssen wir wohl mal wieder ‘ne Ausnahme machen” und hat meinem Kollegen dann eine Bestätigungs ID durchgegeben.

    Kommt mir so vor als sei da grundsätzlich ein Bewußtsein der Situation Seitens MS vorhanden…

  7. 123GT sagt:

    Hallo,
    gibt es etwas neues zu dem Thema und der Seite?

  8. Ben sagt:

    Hallo,
    danke für die umfassende Recherche.
    Der bit.ly Link ist leider nicht mehr funktionstüchtig. Es heißt “Dieser Link ist nicht mehr verfügbar. Bitte beantragen Sie einen neuen Link.”
    Vielleicht kennt jemand eine aktuelle Adresse?
    Die englischsprachige Seite funktioniert für ein deutschsprachiges Produkt leider nicht.
    Beste Grüße

  9. Frank sagt:

    Neuer Link, neues Glück
    http://m.vivr.io/Z7iVO56

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.