News vom 28.01.2016

Android-Geräte in Eduroam angreifbar

Ein Artikel von , veröffentlicht am 28.01.2016

[28.01.2016] Mitglieder von Unis, Hochschulen und Forschungsinstituten kennen es vermutlich: Das weltweit verbreitete WLAN-Zugangssystem Eduoroam. Nun meldet die Uni Ulm, dass momentan vor allem Android-Nutzer in dem System leicht ausspioniert werden können.

Edurom ist ein internationaler Dienst, der den Zugang zum WLAN zahlreicher Bildungseinrichtungen vereinfacht und koordiniert. Jeder, der Mitglied einer teilnehmenden Institution ist, kann sich über Eduroam im WLAN aller anderen Teilnehmer mit den selben Login-Daten anmelden.

Tausende Studierende, Wissenschaftler und Mitarbeiter an Bildungseinrichtungen verbinden sich täglich über Eduroam mit dem Internet – auch mit ihren Mobilgeräten.

Informatiker der Universität Ulm haben vergangene Woche eine gravierende Sicherheitslücke in diesem WLAN-System gemeldet. Nach den Erkenntnissen der Wissenschaftler ist es für Angreifer leicht, die Login-Daten von Nutzern des Eduroam-Netzwerkes auszuspionieren.

Dazu müssen Datenspione nur ein eigenes WLAN aufsetzen, und dieses genauso benennen, wie das Eduroam-Netz. Wer sich nun mit einem Android-Gerät mit Eduroam verbinden will, kann nicht zwischen dem echten WLAN und dem gefälschen WLAN unterscheiden.

Grund dafür ist ein sogenanntes root-Zertifikat der Deutschen Telekom, mit dem Endgeräte überprüfen können, ob sie mit dem echten Eduroam-WLAN verbunden sind. Android verwendet dieses Zertifikat nicht standardmäßig, Nutzer müssen es manuell installieren.

Der überwiegende Teil der Android-Nutzer im Eduroam-Netz verwenden dieses Zertifikat aber nicht – dies gilt vermutlich nicht nur für Ulm, sondern für das gesamte Eduroam-Netz.

Nutzer sollten das Zertifikat unbedingt installieren. Eine Anleitung findet sich zum Beispiel auf der Internetseite der Universität Ulm.

Wie der beschriebene Angriff genau funktioniert, und was es beim Surfen in fremden WLANs noch zu beachten gibt, können Sie im Hintergrundtext Fremde WLANs nutzen nachlesen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Schwerpunkt 

Alles rund um Ortung und Standort

Woher weiß ein Handy, wo es ist? Wie kann ich mein Gerät orten, wenn ich es verloren habe? Wie schütze ich mich vor der Standortverfolgung im Internet? Auf dieser Seite finden Sie unsere wichtigsten Beiträge zum Thema Standort.

Mehr
Ratgeber 

So installieren Sie den App-Store F-Droid

F-Droid ist die verbraucherfreundliche Alternative zu Googles Play-Store. Um ihn zu nutzen, muss man die F-Droid-App von der Webseite herunterladen und auf dem Handy installieren. Das ist einfach, aber ungewohnt. Wir führen Schritt für Schritt durch Installation und Menü.

Mehr
Ratgeber 

Windows 10 – das unbekannte Wesen

Das Betriebssystem Windows 10 für Mobilgeräte von Microsoft hat im Wesentlichen die gleichen Funktionen wie die bekannteren Systeme Android und iOS. Es gibt jedoch auch einige Besonderheiten - gute wie schlechte. Die wichtigsten stellen wir Ihnen hier vor.

Mehr
Kostenfallen 

Worauf Sie bei In-App-Käufen achten sollten

In-App-Käufe können schnell ins Geld gehen, vor allem bei Spielen. Die App selbst ist kostenlos, kostenpflichtig sind Extras, die den Spielverlauf beschleunigen. Sowohl bei Android als auch bei iOS lassen sich In-App-Käufe mit einem Passwort absichern oder über Guthabenkarten kontrollieren. Wir zeigen wie es geht.

Mehr