Az EDUROAM rendszer sérülékenység

Az EDUROAM egy vezetéknélküli hálózati rendszer, amely kutatási és oktatási intézmények alkalmazottai számára, a világszinten 54 országban működő eduroam szolgáltatással Internet kapcsolódást tesz lehetővé. A szolgáltatás egyszeri beállítása belföldön és külföldön ingyenes Internet hozzáférést tesz lehetővé eduroam környezetben.

Az Ulm-i Egyetem szakértői figyelmeztetnek arra, hogy az EDUROAM rendszert használó eszközök nincsenek biztonságban, a sérülékenység főleg az Android felhasználókat érinti, amellyel a támadók bizalmas adatokat szerezhetnek meg. 

A sérülékenység a főtanúsítvány (root certificate) hiányából fakad, ebben az esetben a rendszer nem végez hitelesség ellenőrzést az EDUROAM hálózatán, így a támadó egy olyan hamis hozzáférési pontot hozhat létre, amelyet az Android eszközök elfogadnak – és csatlakoznak hozzá.

A tanúsítvány kézi telepítése szükséges

Normális esetben a főtanúsítványt a regisztráció során az eszköz automatikusan letölti, az Android eszközök azonban ezt alapértelmezett módon nem minden esetben teszik meg, illetve a felhasználót sem értesítik a lehetséges veszélyekről, emiatt sok felhasználó – biztonságosnak hitt, valójában – védtelen hálózathoz csatlakozik.

Az Ulm-i Egyetem vizsgálata során megállapították, hogy a hálózaton található eszközök 47%-a, míg a Bochum-i Egyetemen végzett felmérés szerint a vizsgált eszközök 52%-án nem található meg a szükséges tanúsítvány. A sérülékenység kihasználása során, legrosszabb esetben a támadók felhasználóneveket és jelszavakat szerezhetnek meg, illetve e-maileket tudnak küldeni az okostelefon tulajdonosok nevében.

Forrás:

Eduroam-Netz an Unis: Android-Nutzer sollten dringend Zertifikat installieren


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6554 – Google Chromium V8 sérülékenysége
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
Tovább a sérülékenységekhez »