Edurom ist ein internationaler Dienst, der den Zugang zum WLAN zahlreicher Bildungseinrichtungen vereinfacht und koordiniert. Jeder, der Mitglied einer teilnehmenden Institution ist, kann sich über Eduroam im WLAN aller anderen Teilnehmer mit den selben Login-Daten anmelden.
Tausende Studierende, Wissenschaftler und Mitarbeiter an Bildungseinrichtungen verbinden sich täglich über Eduroam mit dem Internet – auch mit ihren Mobilgeräten.
Informatiker der Universität Ulm haben vergangene Woche eine gravierende Sicherheitslücke in diesem WLAN-System gemeldet. Nach den Erkenntnissen der Wissenschaftler ist es für Angreifer leicht, die Login-Daten von Nutzern des Eduroam-Netzwerkes auszuspionieren.
Dazu müssen Datenspione nur ein eigenes WLAN aufsetzen, und dieses genauso benennen, wie das Eduroam-Netz. Wer sich nun mit einem Android-Gerät mit Eduroam verbinden will, kann nicht zwischen dem echten WLAN und dem gefälschen WLAN unterscheiden.
Grund dafür ist ein sogenanntes root-Zertifikat der Deutschen Telekom, mit dem Endgeräte überprüfen können, ob sie mit dem echten Eduroam-WLAN verbunden sind. Android verwendet dieses Zertifikat nicht standardmäßig, Nutzer müssen es manuell installieren.
Der überwiegende Teil der Android-Nutzer im Eduroam-Netz verwenden dieses Zertifikat aber nicht – dies gilt vermutlich nicht nur für Ulm, sondern für das gesamte Eduroam-Netz.
Nutzer sollten das Zertifikat unbedingt installieren. Eine Anleitung findet sich zum Beispiel auf der Internetseite der Universität Ulm.