logo_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
hammer_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
  • Recensioni
  • Recensione RTX 3090 Ti
  • Come installare Windows 11
  • Recensione RTX 3080 12GB
  • Le migliori VPN del 2022
  • Codici sconto
Software

Migliaia di reti Wi-Fi universitarie Eduroam sono vulnerabili agli attacchi informatici

Recensioni
Recensione RTX 3090 Ti
Come installare Windows 11
Recensione RTX 3080 12GB
Le migliori VPN del 2022
Codici sconto

Tom's Hardware vive grazie al suo pubblico. Quando compri qualcosa dai nostri link, potremmo guadagnare una commissione. Scopri di più

Software

Migliaia di reti Wi-Fi universitarie Eduroam sono vulnerabili agli attacchi informatici

di Sara Grigolin venerdì 1 Ottobre 2021 10:30
  • 2 min
  • vai ai commenti
Più informazioni su
  • Connessione Internet
  • cybersecurity
  • Eduroam
  • Sicurezza informatica
  • Wi-Fi
  • Software
  • android
  • Eduroam

Dei ricercatori hanno scoperto che molteplici falle nella configurazione di una rete Wi-Fi gratuita utilizzata da numerose università possono consentire l’accesso a nomi utente e password di studenti e docenti che si connettono al sistema da dispositivi Android e Windows.

Come riferisce ThreatPost, un team di ricerca di WizCase, guidato dal ricercatore Ata Hakçıl, ha esaminato 3.100 configurazioni di Eduroam nelle università di tutta Europa, scoprendo che più della metà di esse presenta problemi che possono essere sfruttati dai criminali informatici. Hanno anche confermato che il pericolo di una configurazione errata potrebbe estendersi anche ad altre organizzazioni a livello globale.

Eduroam fornisce connessioni Wi-Fi gratuite nelle istituzioni. Assegna a studenti, ricercatori e docenti credenziali di accesso che consentono loro di ottenere la connettività Internet tra diverse istituzioni utilizzando le credenziali della propria università. Nello specifico, i ricercatori hanno trovato difetti nell’implementazione dell’Extensible Authentication Protocol (EAP) utilizzato da Eduroam, che fornisce diverse fasi di autenticazione quando le persone si connettono alla rete. Alcune di queste fasi di autenticazione non sono configurate correttamente in alcune università, aprendo falle di sicurezza.

“Se utilizzi un dispositivo Android e il Wi-Fi Eduroam è impostato per la connessione automatica, le persone malintenzionate potrebbero scoprire il tuo nome utente e password in chiaro avvicinandosi a circa 20 metri da te.” hanno scritto i ricercatori in un rapporto pubblicato mercoledì.

Hacker

Per la ricerca, WizCase ha esaminato diversi scenari di attacco. Nel complesso, i risultati hanno mostrato che nella maggior parte delle università con reti configurate in modo errato, i criminali informatici possono configurare una rete Eduroam “evil twin” che un utente penserebbe essere la vera rete, in particolare sui dispositivi Android.

“Ciò potrebbe far sì che questi dispositivi inviino automaticamente le credenziali archiviate per connettersi alla rete Wi-Fi gemella per gli utenti che non utilizzano eduroamCAT”, che è l’applicazione di Eduroam che gestisce i controlli dei certificati.

I ricercatori hanno sottolineato che il problema non nasce da alcuna vulnerabilità tecnica dei servizi o dalla tecnologia di Eduroam, ma di istruzioni di configurazione errate che gli amministratori di rete delle università forniscono a coloro che configurano l’accesso.

I ricercatori hanno ulteriormente individuato il problema scomponendo le molteplici fasi sequenziali dell’autenticazione EAP, scoprendo che la scarsa implementazione dell’ultima fase di questa autenticazione, chiamata “Autenticazione interna”, è la radice del problema.

Il problema sta nel fatto che non tutti i sistemi operativi implementano il controllo del certificato per proteggere correttamente la connessione: Android è tra questi sistemi operativi, hanno scritto i ricercatori.

Google Pixel 4a

“Quando viene visualizzata una rete con lo stesso nome Wi-Fi, i dispositivi Android non verificheranno se questo certificato è affidabile o meno e non notificheranno nemmeno all’utente il certificato”, hanno spiegato. “Ciò significa che se un utente Android ha abilitato la connessione automatica per una rete utilizzando un certificato server, i dispositivi Android proveranno automaticamente a connettersi a questa rete e invieranno le credenziali memorizzate”.

Anche un sistema operativo che implementa correttamente i controlli dei certificati può esporre i dati perché spesso un utente non sa cosa significhi un controllo del certificato e quindi consentirà la connessione anche se riceve un avviso sul certificato. Ciò significa che il problema può verificarsi anche su Windows.

Delle 3.100 configurazioni universitarie partecipanti a Euroam esaminate da WizCase, 2.100 sparse in tutta Europa sono potenzialmente interessate dal problema. WizCase ha contattato Eduroam a dicembre per divulgare i suoi risultati. I rappresentanti di Eduroam hanno affermato di essere a conoscenza dei “Eduroam identity providers che non seguono i requisiti della politica Eduroam e lasciano i propri utenti non protetti”, concordando che questo comportamento è “inaccettabile”. Non è chiaro però se Eduroam abbia contattato i suoi clienti per avvisarli del problema.

di Sara Grigolin
venerdì 1 Ottobre 2021 10:30
  • 2 min
  • vai ai commenti
Shares
Più informazioni su
  • Connessione Internet
  • cybersecurity
  • Eduroam
  • Sicurezza informatica
  • Wi-Fi
  • Software
  • android
  • Eduroam

Scarica gratis

l'app di Tom's Hardware
Vuoi ricevere aggiornamenti sui tuoi topics preferiti ogni giorno? Iscriviti alla newsletter
Leggi i commenti
toms_logo_white_footer
  • Privacy
  • Chi siamo
  • Contattaci
  • Feed RSS
  • Codici sconto
Google Play
App Store

3LABS S.R.L. • Via Dante 16 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

Copyright © 2022 - 3Labs Srl. - Tutti i diritti riservati. - credits: logo_edinet


  • Tom's Hardware
  • Game division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLabs
  • More
  • Home
  • Le news di oggi
  • Le news di ieri
  • Le news dell'altro ieri

Ultime news

Ultimo video

Da non perdere su Tom's Hardware
Occhiali Hawkers
Proteggi i tuoi occhi con questo 2×1 sugli occhiali da sole Hawkers
Se dovete proteggervi dai pericolosi raggi UV e volete farlo con degli occhiali da sole alla moda, la promozione hawkers…
2 di Dario De Vita - 9 ore fa
  • abbigliamento
  • abbigliamento e accessori
  • occhiali da sole
  • Offerte Abbigliamento
  • Offerte e Sconti
  • Offerte Hawkers
2
Offerta
Casa sicura durante le vacanze
5 prodotti per rendere la tua casa sicura durante le vacanze
Se state per partire per una vacanza, questi 5 prodotti possono aiutarvi a rendere la casa sicura durante la vostra…
4 di Dario De Vita - 11 ore fa
  • Offerte e Sconti
  • sicurezza
  • sicurezza domestica
  • sistemi di sicurezza
  • Videosorveglianza
4
Offerta