Sicherheitslücke in Android bei Nutzung von WLAN mit 802.1X

Kurzbeschreibung – worin besteht die Gefahr?

Aktuell (Stand: 12/2014) existiert in Android (getestet bis Android 4.4.4) eine Sicherheitslücke, die einem Angreifer unter bestimmten Voraussetzungen erlaubt, die Zugangsdaten in einem mit 802.1X abgesicherten WLAN abzugreifen.

Ausgangspunkt ist die Standardeinstellung in Android, die bei WLAN-Netzen standardmäßig keine Angabe eines Zertifikats erfordert. Wird nun von einem Angreifer ein gefälschter AccessPoint mit dem Namen “eduroam” bzw. “Adonis” aufgesetzt, überprüft das Android-Endgerät aufgrund der fehlenden Zertifikatseinstellung nicht, ob es sich um das “echte” WLAN handelt und sendet in der Folge die Anmeldedaten an den falschen AccessPoint. Hierdurch lassen sich die Zugangsdaten des Benutzers kompromittieren und folglich missbrauchen.

Weiterführende Informationen zur Lücke sind unter diesem Link verfügbar.

Gegenmaßnahmen – was muss ich tun?

Um die Sicherheitslücke zu umgehen, müssen Sie für alle WLAN-Netze, die 802.1X als Authentifizierung nutzen, die Zertifikatsüberprüfung einschalten.

Hinweis: Die meisten privaten WLAN-Netze sind mit WPA/WPA2 abgesichert und somit nicht betroffen.

Schritt-für-Schritt Kurzanleitung zur Absicherung Ihres Android-Endgeräts bei der Nutzung der Uni-WLAN-Netze “eduroam” und “Adonis”

Hinweis: Eine detaillierte, bebilderte Anleitung finden Sie unter diesem Link.

  1. Importieren Sie das CA-Zertifikat “Deutsche Telekom Root CA 2”
    Rufen Sie hierzu in Ihrem Browser* auf dem Android-Endgerät die folgende URL auf:
    https://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.crt
    (*sollte der Vorgang fehlschlagen, versuchen Sie es bitte mit dem mitgelieferten, vorinstallierten Browser auf Ihrem Android-Endgerät oder mit der mobilen Version des Chrome-Browsers)
    Alternativ können Sie auch direkt diesen QR-Code abscannen, um die URL aufzurufen:
    dfn-telekom-root-ca2-qr

    Anschließend müssen Sie das Zertifikat benennen, wir empfehlen hier den Namen “Deutsche Telekom Root CA 2” zu vergeben.
    Wählen Sie bei “Verwendung der Anmeldedaten: Wi-Fi” aus!

    Hinweis:
    Sollten Sie beim Aufruf der URL die Meldung erhalten, das Zertifikat sei bereits installiert:
    – Scannen Sie bitte den QR-Code
    – Öffnen Sie die URL jedoch nicht, sondern wählen Sie “Vorschau”
    – Die Option, das Zertifikat unter einem eigenen Namen abzuspeichern, sollte nun erscheinen
  2. WLAN-Konfiguration bearbeiten
    Wechseln Sie zu den WLAN-Einstellungen auf Ihrem Android-Gerät. Bearbeiten Sie nacheinander die Einträge “eduroam” und “Adonis”, indem Sie lange mit dem Finger auf einem Eintrag bleiben und “Netzwerk ändern” wählen.
    Scrollen Sie herunter bis zu “CA-Zertifikat” und wählen Sie hier das zuvor installierte “Deutsche Telekom Root CA 2” aus.
    Speichern Sie die Änderungen.

Weiterführende, detaillierte Informationen erhalten Sie unter diesem Link.

WICHTIG!
Sie müssen diese Einstellung auch für andere mit 802.1X gesicherten WLAN-Netze durchführen, die Sie ggf. bei sich gespeichert haben! Es kann jedoch sein, dass Sie hier ein anderes Zertifikat angeben müssen. Kontaktieren Sie hierzu ggf. bitte direkt den Betreiber des jeweiligen WLAN.