Wie schon seit Längerem bekannt, können die Zugangsberechtigungsdaten von Eduroam-Benutzern per WLAN gestohlen werden, wenn das verbindende Gerät falsch konfiguriert ist. Dies betrifft vor allem Benutzer mobiler Geräte unter Android. Im Rahmen einer Studie hat die Universität Ulm diese Schwachstelle nun in einem Feldversuch untersucht und herausgefunden, dass dort rund 47% der zum Zugriff auf Eduroam genutzten Geräte von dieser Schwachstelle betroffen sind.

Inhalt

• Zusammenfassung
• Beschreibung
• Gegenmaßnahmen
• Weitere Information zu diesem Thema

Zusammenfassung

• Betroffen:	Eduroam
  Plattform:	vor allem Android, prinzipiell jedoch alle Eduroam-Benutzer ohne installierte Zertifikate
  Einfallstor:	WLAN
  Angriffsvoraussetzung:	Zugriff auf ein Funknetz
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	Konfigurationsfehler
  Gefahrenpotential:	hoch
  Gegenmaßnahmen:	korrekte Konfiguration

Beschreibung

Durch ein fehlendes Zertifikat kann ein falsch konfiguriertes Gerät nicht überprüfen, ob ein Netz mit der SSID "eduroam" tatsächlich das Hochschulnetzwerk ist oder ein durch einen Angreifer aufgesetzter Access Point. Werden an Letzteren die Zugangsberechtigungsdaten gesendet, erhält sie der Angreifer und kann sie verwenden, um über das Eduroam-Netzwerk auf alle dem rechtmäßigen Besitzer zur Verfügung stehenden Ressourcen zuzugreifen. Insbesondere mobile Geräte unter Android sind von dieser Art des Angriffs betroffen, da sie voreingestellt kein Zertifikat zur Authentifizierung des Servers, zu dem die Verbindung fur die Nutzung eines WLANs hergestellt wird, verwenden und auch dem Benutzer keinen Hinweis auf ein fehlendes Zertifikat geben. Um das Risiko des Verlustes der Zugangsdaten zu vermeiden, müssen Benutzer ihre mobilen Geräte korrekt konfigurieren und dabei entsprechende Zertifikate herunterladen und installieren.

Gegenmaßnahmen

• Korrekte Konfiguration des mobilen Gerätes, wie in der entsprechenden Anleitung des TIK beschrieben

Weitere Information zu diesem Thema

• Betriebsmeldung des TIK zu diesem Problem
• Meldung des DFN-CERT zu diesem Problem: Google Android / eduroam-Zugangsdaten

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/