Az EDUROAM rendszer sérülékenység

Az EDUROAM egy vezetéknélküli hálózati rendszer, amely kutatási és oktatási intézmények alkalmazottai számára, a világszinten 54 országban működő eduroam szolgáltatással Internet kapcsolódást tesz lehetővé. A szolgáltatás egyszeri beállítása belföldön és külföldön ingyenes Internet hozzáférést tesz lehetővé eduroam környezetben.

Az Ulm-i Egyetem szakértői figyelmeztetnek arra, hogy az EDUROAM rendszert használó eszközök nincsenek biztonságban, a sérülékenység főleg az Android felhasználókat érinti, amellyel a támadók bizalmas adatokat szerezhetnek meg. 

A sérülékenység a főtanúsítvány (root certificate) hiányából fakad, ebben az esetben a rendszer nem végez hitelesség ellenőrzést az EDUROAM hálózatán, így a támadó egy olyan hamis hozzáférési pontot hozhat létre, amelyet az Android eszközök elfogadnak - és csatlakoznak hozzá.

A tanúsítvány kézi telepítése szükséges

Normális esetben a főtanúsítványt a regisztráció során az eszköz automatikusan letölti, az Android eszközök azonban ezt alapértelmezett módon nem minden esetben teszik meg, illetve a felhasználót sem értesítik a lehetséges veszélyekről, emiatt sok felhasználó - biztonságosnak hitt, valójában - védtelen hálózathoz csatlakozik.

Az Ulm-i Egyetem vizsgálata során megállapították, hogy a hálózaton található eszközök 47%-a, míg a Bochum-i Egyetemen végzett felmérés szerint a vizsgált eszközök 52%-án nem található meg a szükséges tanúsítvány. A sérülékenység kihasználása során, legrosszabb esetben a támadók felhasználóneveket és jelszavakat szerezhetnek meg, illetve e-maileket tudnak küldeni az okostelefon tulajdonosok nevében.

Forrás:

Eduroam-Netz an Unis: Android-Nutzer sollten dringend Zertifikat installieren

Cikk
Szabad címkék