Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 28.01.2016

Android-Geräte in Eduroam angreifbar

Ein Artikel von , veröffentlicht am 28.01.2016

[28.01.2016] Mitglieder von Unis, Hochschulen und Forschungsinstituten kennen es vermutlich: Das weltweit verbreitete WLAN-Zugangssystem Eduoroam. Nun meldet die Uni Ulm, dass momentan vor allem Android-Nutzer in dem System leicht ausspioniert werden können.

Edurom ist ein internationaler Dienst, der den Zugang zum WLAN zahlreicher Bildungseinrichtungen vereinfacht und koordiniert. Jeder, der Mitglied einer teilnehmenden Institution ist, kann sich über Eduroam im WLAN aller anderen Teilnehmer mit den selben Login-Daten anmelden.

Tausende Studierende, Wissenschaftler und Mitarbeiter an Bildungseinrichtungen verbinden sich täglich über Eduroam mit dem Internet – auch mit ihren Mobilgeräten.

Informatiker der Universität Ulm haben vergangene Woche eine gravierende Sicherheitslücke in diesem WLAN-System gemeldet. Nach den Erkenntnissen der Wissenschaftler ist es für Angreifer leicht, die Login-Daten von Nutzern des Eduroam-Netzwerkes auszuspionieren.

Dazu müssen Datenspione nur ein eigenes WLAN aufsetzen, und dieses genauso benennen, wie das Eduroam-Netz. Wer sich nun mit einem Android-Gerät mit Eduroam verbinden will, kann nicht zwischen dem echten WLAN und dem gefälschen WLAN unterscheiden.

Grund dafür ist ein sogenanntes root-Zertifikat der Deutschen Telekom, mit dem Endgeräte überprüfen können, ob sie mit dem echten Eduroam-WLAN verbunden sind. Android verwendet dieses Zertifikat nicht standardmäßig, Nutzer müssen es manuell installieren.

Der überwiegende Teil der Android-Nutzer im Eduroam-Netz verwenden dieses Zertifikat aber nicht – dies gilt vermutlich nicht nur für Ulm, sondern für das gesamte Eduroam-Netz.

Nutzer sollten das Zertifikat unbedingt installieren. Eine Anleitung findet sich zum Beispiel auf der Internetseite der Universität Ulm.

Wie der beschriebene Angriff genau funktioniert, und was es beim Surfen in fremden WLANs noch zu beachten gibt, können Sie im Hintergrundtext Fremde WLANs nutzen nachlesen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Werbe-ID: So funktioniert das Nummernschild fürs Smartphone

Jedes Smartphone besitzt eine Art Nummernschild, das Werbung in Apps für Nutzer*innen personalisiert. Wir erklären, wie die Werbe-ID funktioniert und was Sie tun können, um das Tracking zu beschränken.

Mehr
Ratgeber 

Was ist ein sicheres Passwort?

Sich viele verschiedene Passwörter zu merken, ist lästig. Doch unsichere Passwörter sind ein Einfallstor für Datenmissbrauch und -diebstahl. Mit ein paar Tricks wird es leichter, auch ein sicheres Passwort im Kopf zu behalten. Hier sind unsere Tipps.

Mehr
Ratgeber 

Messenger-Apps: 7 WhatsApp-Alternativen

Messenger sind für viele Menschen die wichtigsten Apps überhaupt. Wir geben einen Überblick über die beliebtesten Ende-zu-Ende-verschlüsstelten WhatsApp-Alternativen – und ordnen ihre Vor- und Nachteile ein.

Mehr
Ratgeber 

Was ist Handysucht?

Ab wann beginnt Handysucht und wann handelt es sich nur um Stress? Gerade bei Jugendlichen ist das oft schwer einzuschätzen. Wichtig ist: Es kommt nicht auf die Nutzungsdauer an, sondern vor allem darauf, ob man die Kontrolle über das eigene Verhalten hat.

Mehr