Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1739

[Generic/Eduroam] Eduroam-Zugangsberechtigungen gefährdet
(2016-01-22 10:22:13.404172+00) Druckversion

Quelle: https://idw-online.de/de/news644586

Wie schon seit Längerem bekannt, können die Zugangsberechtigungsdaten von Eduroam-Benutzern per WLAN gestohlen werden, wenn das verbindende Gerät falsch konfiguriert ist. Dies betrifft vor allem Benutzer mobiler Geräte unter Android. Im Rahmen einer Studie hat die Universität Ulm diese Schwachstelle nun in einem Feldversuch untersucht und herausgefunden, dass dort rund 47% der zum Zugriff auf Eduroam genutzten Geräte von dieser Schwachstelle betroffen sind.

Inhalt

Zusammenfassung

  • Betroffen: Eduroam
    Plattform: vor allem Android, prinzipiell jedoch alle Eduroam-Benutzer ohne installierte Zertifikate
    Einfallstor: WLAN
    Angriffsvoraussetzung:Zugriff auf ein Funknetz
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Konfigurationsfehler
    Gefahrenpotential: hoch
    Gegenmaßnahmen: korrekte Konfiguration

Beschreibung

Durch ein fehlendes Zertifikat kann ein falsch konfiguriertes Gerät nicht überprüfen, ob ein Netz mit der SSID "eduroam" tatsächlich das Hochschulnetzwerk ist oder ein durch einen Angreifer aufgesetzter Access Point. Werden an Letzteren die Zugangsberechtigungsdaten gesendet, erhält sie der Angreifer und kann sie verwenden, um über das Eduroam-Netzwerk auf alle dem rechtmäßigen Besitzer zur Verfügung stehenden Ressourcen zuzugreifen. Insbesondere mobile Geräte unter Android sind von dieser Art des Angriffs betroffen, da sie voreingestellt kein Zertifikat zur Authentifizierung des Servers, zu dem die Verbindung fur die Nutzung eines WLANs hergestellt wird, verwenden und auch dem Benutzer keinen Hinweis auf ein fehlendes Zertifikat geben. Um das Risiko des Verlustes der Zugangsdaten zu vermeiden, müssen Benutzer ihre mobilen Geräte korrekt konfigurieren und dabei entsprechende Zertifikate herunterladen und installieren.

Gegenmaßnahmen

  • Korrekte Konfiguration des mobilen Gerätes, wie in der entsprechenden Anleitung des TIK beschrieben

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2016 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.