Eduroam-Netz an Unis: Android-Nutzer sollten dringend Zertifikat installieren

Wer sich auf dem Campus mit einem Android-Gerät über das eduroam-Netzwerk mit dem Internet verbindet, kann von Angreifern ausspioniert werden.

In Pocket speichern vorlesen Druckansicht 205 Kommentare lesen
WLAN-Router
Lesezeit: 2 Min.

Informatiker der Universität Ulm warnen davor, dass viele Geräte im Universitäten-Netzwerk eduroam nicht sicher unterwegs sind. Dabei sollen vor allem Nutzer von Android-Geräten gefährdet sein und Angreifer könnten private Daten abgreifen. Über das Netzwerk verbinden sich täglich Tausende Studierende und Beschäftigte an Forschungseinrichtungen auf der ganzen Welt mit dem Internet.

Grund für die besondere Gefahr für Android-Nutzer ist ein fehlendes Root-Zertifikat. Denn ohne dieses Zertifikat erfolgt keine Authentizitätsprüfung gegenüber dem Server des eduroam-Netzwerkes. In diesem Fall könnte ein Angreifer einen Fake-Access-Point aufsetzen und der Android-Client würde diesem vertrauen. Dann ist der Angreifer in der Lage, Verbindungen mitzuschneiden.

Normalerweise wird das Root-Zertifikat bei der Anmeldung heruntergeladen. "Android verwendet in den Standardeinstellungen kein solches Zertifikat und warnt Nutzer auch nicht vor möglichen Gefahren", sagt Thomas Lukaseder vom Institut für Verteilte Systeme. Viele Nutzer bewegen sich also ohne ihr Wissen ungeschützt in dem eigentlich als sicher geltenden Netzwerk, erläutern die Informatiker.

Android-Nutzer sollten deswegen ihre Netzwerkeinstellungen überprüfen, ob das von der Deutschen Telekom herausgegebene Root-Zertifikat (DTAG-Root-CA-2) installiert ist. Anleitungen zur korrekten Installation des Root-Zertifikates gibt es auf den Webseiten der teilnehmenden Universitäten.

Bei einer Überprüfung an der Universität Ulm stellten sich rund 47 Prozent aller in eduroam genutzten Geräte als angreifbar heraus. Bei einer entsprechenden Studie an der Universität Bochum hatten 52 Prozent der untersuchten Geräte das Zertifikat nicht installiert. Schlimmstenfalls können Angreifer so Nutzernamen und Passwörter mitlesen, E-Mails im Namen der Smartphone-Besitzer verschicken oder Noten manipulieren, warnen die Informatiker. (mit Material der dpa) /

[UPDATE, 21.01.2016 11:00 Uhr]

Das Problem ist dem Deutschen Forschungsnetz (DFN) schon seit Mitte 2014 bekannt. Die in dieser Meldung erwähnten Informatiker sind dementsprechend nicht die Primärquelle; sie haben das Thema nochmals in ihrer Bachelorarbeit aufgegriffen. (des)