2014-0833: Google Android: Zwei Schwachstellen ermöglichen das Ausspähen von Zugangsdaten für WLAN-Verbindungen
Historie:
- Version 1 (2014-07-08 17:21)
- Neues Advisory: Die zusätzlichen Informationen (Referenz) werden in Kürze veröffentlicht.
- Version 2 (2015-01-20 16:25)
- Google teilte mit, dass an einer geeigneten Lösung für das unter Schwachstelle ANDROID-2014-CERT-1 beschriebene Problem noch gearbeitet wird, die Schwachstelle ANDROID-2014-CERT-2 aber durch einen Bugfix für den "wpa_supplicant" in Android 5.0 behoben wurde. Dies konnte durch Tests der DFN-Geschäftsstelle in Berlin mit einem LG NEXUS 5 mit Android 5 (OTA-Dateien) bestätigt werden, indem einige Male zwischen dem korrekt mit eduroam-Root CA konfigurierten 802.1X-WLAN-Profil und einem weiteren Profil mit unsicherer Default-Konfiguration gewechselt wurde. Das eduroam-Passwort konnte dabei nicht mehr ausgespäht werden.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Google
Linux
Beschreibung:
Zwei Schwachstellen im Android Betriebssystem, ermöglichen das Ausspähen von Zugangsdaten, wenn für mindestens ein 802.1X-WLAN die Default-Konfiguration für WLAN-Verbindungen aktiviert ist.
Wenn auf dem Gerät ein Zugriff auf das eduroam konfiguriert ist, ermöglichen diese Schwachstellen einem entfernten, nicht authentifizierten Angreifer eduroam-Nutzerdaten im Klartext auszuspähen.
Die Tests, die von der Universität Bonn und der DFN-Geschäftsstelle in Berlin durchgeführt wurden, haben für alle getesteten Android Betriebssystemversionen übereinstimmendes Verhalten nachgewiesen, d. h. es ist aktuell davon auszugehen, dass diese Verwundbarkeit für alle Versionen besteht.
Schwachstellen:
ANDROID-2014-CERT-1
Fehlende Zertifikatsüberprüfung in AndroidANDROID-2014-CERT-2
WLAN-Verbindungswechsel erlaubt das Ausspähen von Zugangsdaten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.