News vom 28.01.2016

Android-Geräte in Eduroam angreifbar

Ein Artikel von , veröffentlicht am 28.01.2016

[28.01.2016] Mitglieder von Unis, Hochschulen und Forschungsinstituten kennen es vermutlich: Das weltweit verbreitete WLAN-Zugangssystem Eduoroam. Nun meldet die Uni Ulm, dass momentan vor allem Android-Nutzer in dem System leicht ausspioniert werden können.

Edurom ist ein internationaler Dienst, der den Zugang zum WLAN zahlreicher Bildungseinrichtungen vereinfacht und koordiniert. Jeder, der Mitglied einer teilnehmenden Institution ist, kann sich über Eduroam im WLAN aller anderen Teilnehmer mit den selben Login-Daten anmelden.

Tausende Studierende, Wissenschaftler und Mitarbeiter an Bildungseinrichtungen verbinden sich täglich über Eduroam mit dem Internet – auch mit ihren Mobilgeräten.

Informatiker der Universität Ulm haben vergangene Woche eine gravierende Sicherheitslücke in diesem WLAN-System gemeldet. Nach den Erkenntnissen der Wissenschaftler ist es für Angreifer leicht, die Login-Daten von Nutzern des Eduroam-Netzwerkes auszuspionieren.

Dazu müssen Datenspione nur ein eigenes WLAN aufsetzen, und dieses genauso benennen, wie das Eduroam-Netz. Wer sich nun mit einem Android-Gerät mit Eduroam verbinden will, kann nicht zwischen dem echten WLAN und dem gefälschen WLAN unterscheiden.

Grund dafür ist ein sogenanntes root-Zertifikat der Deutschen Telekom, mit dem Endgeräte überprüfen können, ob sie mit dem echten Eduroam-WLAN verbunden sind. Android verwendet dieses Zertifikat nicht standardmäßig, Nutzer müssen es manuell installieren.

Der überwiegende Teil der Android-Nutzer im Eduroam-Netz verwenden dieses Zertifikat aber nicht – dies gilt vermutlich nicht nur für Ulm, sondern für das gesamte Eduroam-Netz.

Nutzer sollten das Zertifikat unbedingt installieren. Eine Anleitung findet sich zum Beispiel auf der Internetseite der Universität Ulm.

Wie der beschriebene Angriff genau funktioniert, und was es beim Surfen in fremden WLANs noch zu beachten gibt, können Sie im Hintergrundtext Fremde WLANs nutzen nachlesen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

So sichern Sie Ihr Instagram-Profil ab

Instagram bietet viele Möglichkeiten, die eigenen Informationen, Bilder und Videos vor Missbrauch zu schützen. Die Standardeinstellungen sind aber nicht verbraucherfreundlich. Folgende Punkte sollten Sie daher unbedingt einmal überprüfen.

Mehr
Ratgeber 

Soll ich annehmen? Android-App gegen Spam-Anrufe

Sie bekommen lästige Anrufe von Werbefirmen Spammern und Robocallern? Die App mit dem Namen "Soll ich annehmen?" setzt auf den Schwarm: Jeder Nutzer kann Spam-Nummern melden und so die gemeinsame Datenbank ausbauen. Die eigene Nummer oder Adressbücher tastet die App nicht an.

Mehr
Ratgeber 

Video-Chat Jitsi Meet kurz vorgestellt

Der Video-Chat Jitsi Meet gilt als datensparsame Alternative zu Skype und Zoom. Er ist datensparsam und lässt sich ohne Installation direkt im Browser nutzen. Die Verbindungsqualität ist jedoch eher mittelmäßig.

Mehr
YouTube-Video 

5 Tipps für nachhaltige Handynutzung

Datenschutz ist Klimaschutz – das merkt man schnell, wenn man sich den Energieverbrauch von Apps anschaut. Denn trackende Werbung ist der größte Energiefresser überhaupt. Wir zeigen, wie Sie den Stromverbrauch Ihrer Apps reduzieren können und damit auch Ihre Daten schützen.

Ansehen