Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1739

[Generic/Eduroam] Eduroam-Zugangsberechtigungen gefährdet
(2016-01-22 10:22:13.404172+00)

Quelle: https://idw-online.de/de/news644586

Wie schon seit Längerem bekannt, können die Zugangsberechtigungsdaten von Eduroam-Benutzern per WLAN gestohlen werden, wenn das verbindende Gerät falsch konfiguriert ist. Dies betrifft vor allem Benutzer mobiler Geräte unter Android. Im Rahmen einer Studie hat die Universität Ulm diese Schwachstelle nun in einem Feldversuch untersucht und herausgefunden, dass dort rund 47% der zum Zugriff auf Eduroam genutzten Geräte von dieser Schwachstelle betroffen sind.

Inhalt

Zusammenfassung

Beschreibung

Durch ein fehlendes Zertifikat kann ein falsch konfiguriertes Gerät nicht überprüfen, ob ein Netz mit der SSID "eduroam" tatsächlich das Hochschulnetzwerk ist oder ein durch einen Angreifer aufgesetzter Access Point. Werden an Letzteren die Zugangsberechtigungsdaten gesendet, erhält sie der Angreifer und kann sie verwenden, um über das Eduroam-Netzwerk auf alle dem rechtmäßigen Besitzer zur Verfügung stehenden Ressourcen zuzugreifen. Insbesondere mobile Geräte unter Android sind von dieser Art des Angriffs betroffen, da sie voreingestellt kein Zertifikat zur Authentifizierung des Servers, zu dem die Verbindung fur die Nutzung eines WLANs hergestellt wird, verwenden und auch dem Benutzer keinen Hinweis auf ein fehlendes Zertifikat geben. Um das Risiko des Verlustes der Zugangsdaten zu vermeiden, müssen Benutzer ihre mobilen Geräte korrekt konfigurieren und dabei entsprechende Zertifikate herunterladen und installieren.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1739