Google Android ist das verbreitetste Betriebssystem für mobile Endgeräte wie Smartphones und Tablets. Es hat aber 2 bekannte Schwachstellen bei der WLAN-Anmeldung:
- Ein Benutzer hat nur ein 802.1X WLAN-Profil konfiguriert, verwendet aber – was aufgrund der Benutzerführung sehr naheliegend ist – die Default-Konfiguration mit der Option CA-Zertifikat „keine Angabe“. Die Überprüfung, ob Sie sich tatsächlich mit dem WLAN der Frankfurt UAS verbinden, wird damit ohne jegliche Warnung NICHT durchgeführt.
- Ein Benutzer hat zwar im WLAN-Profil korrekt das richtige CA-Zertifikat eingetragen, hat aber weitere 802.1X Profile ohne Zertifikatsüberprüfung konfiguriert, z. B. für ein WLAN zu Hause. Bei einem Verbindungswechsel entfällt auch in diesem Fall die Überprüfung der Identität des WLAN-Betreibers.
Die Gefahr ist in beiden Fällen, dass ein entfernter, unbekannter Angreifer Ihre Nutzerdaten im Klartext ausspähen könnte, indem er einfach ein WLAN mit dem selben Namen ausstrahlt. Achten Sie also bitte unbedingt darauf, dass in Ihrem WLAN-Profil das Zertifikat korrekt eingetragen ist.
Betroffen sind mindestens die Android Versionen 4.1.2, 4.3, 4.4.3 und 4.4.4. Leider gibt es auch Android Versionen, bei denen die korrekte Konfiguration des Zertifikats gar nicht möglich ist. Seien Sie in diesem Fall extrem mißtrauisch, wenn Sie dennoch die WLAN-Verbindung herstellen! Eine klare Aussage, welche Versionen betroffen sind, ist leider nicht möglich, da es u.U. auch am Branding mancher Geräte liegen könnte.