News vom 28.01.2016

Android-Geräte in Eduroam angreifbar

Ein Artikel von , veröffentlicht am 28.01.2016

[28.01.2016] Mitglieder von Unis, Hochschulen und Forschungsinstituten kennen es vermutlich: Das weltweit verbreitete WLAN-Zugangssystem Eduoroam. Nun meldet die Uni Ulm, dass momentan vor allem Android-Nutzer in dem System leicht ausspioniert werden können.

Edurom ist ein internationaler Dienst, der den Zugang zum WLAN zahlreicher Bildungseinrichtungen vereinfacht und koordiniert. Jeder, der Mitglied einer teilnehmenden Institution ist, kann sich über Eduroam im WLAN aller anderen Teilnehmer mit den selben Login-Daten anmelden.

Tausende Studierende, Wissenschaftler und Mitarbeiter an Bildungseinrichtungen verbinden sich täglich über Eduroam mit dem Internet – auch mit ihren Mobilgeräten.

Informatiker der Universität Ulm haben vergangene Woche eine gravierende Sicherheitslücke in diesem WLAN-System gemeldet. Nach den Erkenntnissen der Wissenschaftler ist es für Angreifer leicht, die Login-Daten von Nutzern des Eduroam-Netzwerkes auszuspionieren.

Dazu müssen Datenspione nur ein eigenes WLAN aufsetzen, und dieses genauso benennen, wie das Eduroam-Netz. Wer sich nun mit einem Android-Gerät mit Eduroam verbinden will, kann nicht zwischen dem echten WLAN und dem gefälschen WLAN unterscheiden.

Grund dafür ist ein sogenanntes root-Zertifikat der Deutschen Telekom, mit dem Endgeräte überprüfen können, ob sie mit dem echten Eduroam-WLAN verbunden sind. Android verwendet dieses Zertifikat nicht standardmäßig, Nutzer müssen es manuell installieren.

Der überwiegende Teil der Android-Nutzer im Eduroam-Netz verwenden dieses Zertifikat aber nicht – dies gilt vermutlich nicht nur für Ulm, sondern für das gesamte Eduroam-Netz.

Nutzer sollten das Zertifikat unbedingt installieren. Eine Anleitung findet sich zum Beispiel auf der Internetseite der Universität Ulm.

Wie der beschriebene Angriff genau funktioniert, und was es beim Surfen in fremden WLANs noch zu beachten gibt, können Sie im Hintergrundtext Fremde WLANs nutzen nachlesen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Schwerpunkt Video-Chat: Google Duo, FaceTime, Blizz und Jitsi Meet

Beliebte Video-Chats wie ZOOM und Skype sind nicht unbedingt die sicherste Wahl. Im Video stellen wir Ihnen vier Alternativen vor - wie immer mit Fokus auf Privatsphäre und Sicherheit.

Ansehen
Ratgeber 

pEp: Sichere Mail-App für iPhones und Android

Mit pEp gibt es endlich eine privatsphärefreundliche Alternative zu Apple Mail. Die quelloffene Mail-App ist frei von Tracking und Werbung - und bietet außerdem automatische E-Mail-Verschlüsselung. Für Android ist sie auch zu haben.

Mehr
YouTube-Video 

3 Tipps, damit Sie zu Weihnachten das richtige Handy verschenken

Sie möchten zu Weihnachten ein Handy verschenken, haben aber keine Ahnung, worauf Sie achten sollen? Viele Händler versuchen kurz vor Weihnachten, ihre Kund*innen abzuzocken - mit unseren Tipps sind Sie klüger.

Ansehen
YouTube-Video 

USB Restricted Mode: Mehr Sicherheit mit iOS 11.4.1

Apple will es Strafverfolgungsbehörden schwer machen: Mit dem neuen iOS-Update auf 11.4.1 kann der PIN-Code von iPhones nur noch sehr schwer geknackt werden. Wie die Funktion "USB Restricted Mode" funktioniert, erfahrt ihr im Video.

Ansehen