Az EDUROAM egy vezetéknélküli hálózati rendszer, amely kutatási és oktatási intézmények alkalmazottai számára, a világszinten 54 országban működő eduroam szolgáltatással Internet kapcsolódást tesz lehetővé. A szolgáltatás egyszeri beállítása belföldön és külföldön ingyenes Internet hozzáférést tesz lehetővé eduroam környezetben.
Az Ulm-i Egyetem szakértői figyelmeztetnek arra, hogy az EDUROAM rendszert használó eszközök nincsenek biztonságban, a sérülékenység főleg az Android felhasználókat érinti, amellyel a támadók bizalmas adatokat szerezhetnek meg.
A sérülékenység a főtanúsítvány (root certificate) hiányából fakad, ebben az esetben a rendszer nem végez hitelesség ellenőrzést az EDUROAM hálózatán, így a támadó egy olyan hamis hozzáférési pontot hozhat létre, amelyet az Android eszközök elfogadnak – és csatlakoznak hozzá.
A tanúsítvány kézi telepítése szükséges
Normális esetben a főtanúsítványt a regisztráció során az eszköz automatikusan letölti, az Android eszközök azonban ezt alapértelmezett módon nem minden esetben teszik meg, illetve a felhasználót sem értesítik a lehetséges veszélyekről, emiatt sok felhasználó – biztonságosnak hitt, valójában – védtelen hálózathoz csatlakozik.
Az Ulm-i Egyetem vizsgálata során megállapították, hogy a hálózaton található eszközök 47%-a, míg a Bochum-i Egyetemen végzett felmérés szerint a vizsgált eszközök 52%-án nem található meg a szükséges tanúsítvány. A sérülékenység kihasználása során, legrosszabb esetben a támadók felhasználóneveket és jelszavakat szerezhetnek meg, illetve e-maileket tudnak küldeni az okostelefon tulajdonosok nevében.
Forrás:
Eduroam-Netz an Unis: Android-Nutzer sollten dringend Zertifikat installieren
