Eduroam, reti Wi-Fi universitarie a rischio: sono vulnerabili al furto di credenziali

WizCase lancia l’allarme: le reti delle università europee non sono sicure, rilevate vulnerabilità significative in 2.100 configurazioni su 3.100

Eduroam
(Pixabay)

Un team di ricercatori informatici di WizCase ha analizzato oltre 3000 configurazioni di reti Wi-Fi gratuite facenti parte dell’Eduroam, un servizio di roaming gratuito che consente l’accesso alla rete informatica degli atenei federati, in uso presso molte università europee. È emerso che oltre la metà di queste presentano vulnerabilità facilmente sfruttabili dai malintenzionati, che potrebbero appropriarsi dei credenziali degli utenti che si connettono alla rete da un dispositivi Android o Windows.

Sono state scoperte le falle nell’implementazione dell’Extensible Authentication Protocol (EAP), coinvolto nel processo di autenticazione nella fase di connessione da parte di studenti, ricercatori e professori. Utilizzando un dispositivo Android o Windows con Eduroam impostato per la connessione automatica, ci si esponeva al rischio di rendere visibile il proprio nome utente e password ad occhi malevoli a 20 metri di distanza. Sono dunque state esaminate varie possibilità di attacco.

LEGGI ANCHE >>> Apple Watch, una funzione che salva la vita delle persone. Un’incredibile storia

Credenziali rubate con una rete Wi-Fi finta: l’autenticazione non è sicura

attacco hacker
(PixaBay)

Gli errori nella configurazione della rete rendevano possibile una falsa rete-doppione, il cosiddetto “evil twin” che, agli occhi degli utenti, sembrerebbe la rete originale, ma invece invia automaticamente le credenziali alla rete Wi-Fi “finta”. La problematica riguardava gli utenti che non utilizzavano l’applicazione Eduroam per il controllo dei certificati, EduroamCAT, e in particolar modo le connessioni attraverso il sistema operativo Android. I ricercatori hanno appurato che la falla non è dovuta ai servizi o alla tecnologia di Eduroam, bensì alle istruzioni di configurazione errate fornite agli utenti dagli amministratori di rete delle varie università. Il problema si annida nell’ultima fase dell’autenticazione EAP, l’autenticazione interna, non implementata a dovere.

LEGGI ANCHE >>> Cos’è Google MUM, il nuovo motore di ricerca intelligente che rivoluzionerà il Web
Durante la visualizzazione di una rete con lo stesso nome alcuni sistemi operativi , compreso Android, non verificano l’affidabilità dei certificati, non ne inviano notifica e si connettono automaticamente inviando il nome utente e la password memorizzati. Lo stesso può capitare anche se il sistema operativo attiva correttamente i controlli dei certificati ma l’utente, per mancanza di conoscenze informatiche, ignora la notifica e consente la connessione.

Il problema è presente su 2.100 configurazioni su 3.100 sotto esame. Dopo l’avviso a Eduroam da parte del team di WizCase, non è ancora noto se i clienti siano stati messi al corrente delle problematiche.