Unsichere eduroam-Konfigurationen bei Android-Geräten [11.12.14, Pi, Update 20.01.15 Pi]

15. Dezember 2014

Bei der Verwendung von Geräten mit Android als Betriebssystem im WLAN eduroam kommt es aufgrund von Fehlern im Betriebssystem unter bestimmten Umständen zu unsicheren Konfigurationen. Verwenden Sie bitte daher für Android, aber auch für alle anderen Betriebssysteme, ausschließlich die von uns bereitgestellte Anleitung unter https://doku.rz.tu-bs.de/doku.php?id=netz:wlan.

Update (20.01.2015, Pi):   Google teilte dem DFN-CERT mit, dass weiterhin an einer geeigneten Lösung für das Problem gearbeitet  wird. Die Schwachstelle sei aber in Android 5.0 behoben, was Tests der DFN-Geschäftsstelle in Berlin (LG NEXUS 5 mit Android 5  OTA-Dateien) bestätigen.

Die Verwendung von eduroam mit den richtigen Konfigurationseinstellungen ist sicher, jedoch führen Benutzerverhalten und bei Android insbesondere auch Softwarefehler in Kombination mit unsicheren Standardeinstellungen und fehlenden Funktionalitäten besonders schnell zu unsicheren und fehlerhaften Konfigurationen.

Unabhängig vom Betriebssystem gilt: Bei der Konfiguration von eduroam ausschliesslich über unsere Anleitung erreichen Sie, dass Ihr Gerät sicher und roaming-konform eingerichtet ist. Verwenden Sie unsere Anleitung, so vermeiden Sie häufig auftretende Fehler:

Durch Verwendung unserer Anleitungen vermeiden Sie die o.g. Problemfelder. Die Anleitung finden Sie unter https://doku.rz.tu-bs.de/doku.php?id=netz:wlan

Zwar ist auch über die von uns bereitgestellte Anleitung mit Installer nur die Angabe von Benutzerkennung und Passwort nötig, jedoch werden über diesen Weg alle anderen Parameter richtig vorkonfiguriert.

Benutzer von zentral über Ihre Einrichtung administrierten Geräten wenden sich bei Fragen bitte an Ihr Administrationsteam oder den zuständigen DV-Koordinator.

Eine ausführliche Meldung des DFN-CERT zu dem Thema finden Sie hier:

https://www.dfn-cert.de/aktuell/Google-Android-Eduroam-Zugangsdaten.html

Update (20.01.2015, Pi): Das DFN-CERT hat eine Aktualisierung und die Antwort seitens Google veröffentlicht:

Version 2 (20.01.2015):
Google teilte mit, dass an einer geeigneten Lösung für das unter  Schwachstelle ANDROID-2014-CERT-1 beschriebene Problem noch gearbeitet  wird, die Schwachstelle ANDROID-2014-CERT-2 aber durch einen Bugfix für  den „wpa_supplicant“ in Android 5.0 behoben wurde. Dies konnte durch Tests  der DFN-Geschäftsstelle in Berlin mit einem LG NEXUS 5 mit Android 5  (OTA-Dateien) bestätigt werden, indem einige Male zwischen dem korrekt mit  eduroam-Root CA konfigurierten 802.1X-WLAN-Profil und einem weiteren Profil mit unsicherer Default-Konfiguration gewechselt wurde. Das     eduroam-Passwort konnte dabei nicht mehr ausgespäht werden. „…“

Betroffene Software:

Google Android Operating System 4.1.2
Google Android Operating System 4.3
Google Android Operating System 4.4.3
Google Android Operating System 4.4.4″

 

¬ geschrieben von j_pilawa in Allgemein