Dei ricercatori hanno scoperto che molteplici falle nella configurazione di una rete Wi-Fi gratuita utilizzata da numerose università possono consentire l’accesso a nomi utente e password di studenti e docenti che si connettono al sistema da dispositivi Android e Windows.

Come riferisce ThreatPost, un team di ricerca di WizCase, guidato dal ricercatore Ata Hakçıl, ha esaminato 3.100 configurazioni di Eduroam nelle università di tutta Europa, scoprendo che più della metà di esse presenta problemi che possono essere sfruttati dai criminali informatici. Hanno anche confermato che il pericolo di una configurazione errata potrebbe estendersi anche ad altre organizzazioni a livello globale.

Eduroam fornisce connessioni Wi-Fi gratuite nelle istituzioni. Assegna a studenti, ricercatori e docenti credenziali di accesso che consentono loro di ottenere la connettività Internet tra diverse istituzioni utilizzando le credenziali della propria università. Nello specifico, i ricercatori hanno trovato difetti nell’implementazione dell’Extensible Authentication Protocol (EAP) utilizzato da Eduroam, che fornisce diverse fasi di autenticazione quando le persone si connettono alla rete. Alcune di queste fasi di autenticazione non sono configurate correttamente in alcune università, aprendo falle di sicurezza.

“Se utilizzi un dispositivo Android e il Wi-Fi Eduroam è impostato per la connessione automatica, le persone malintenzionate potrebbero scoprire il tuo nome utente e password in chiaro avvicinandosi a circa 20 metri da te.” hanno scritto i ricercatori in un rapporto pubblicato mercoledì.

Per la ricerca, WizCase ha esaminato diversi scenari di attacco. Nel complesso, i risultati hanno mostrato che nella maggior parte delle università con reti configurate in modo errato, i criminali informatici possono configurare una rete Eduroam “evil twin” che un utente penserebbe essere la vera rete, in particolare sui dispositivi Android.

“Ciò potrebbe far sì che questi dispositivi inviino automaticamente le credenziali archiviate per connettersi alla rete Wi-Fi gemella per gli utenti che non utilizzano eduroamCAT”, che è l’applicazione di Eduroam che gestisce i controlli dei certificati.

I ricercatori hanno sottolineato che il problema non nasce da alcuna vulnerabilità tecnica dei servizi o dalla tecnologia di Eduroam, ma di istruzioni di configurazione errate che gli amministratori di rete delle università forniscono a coloro che configurano l’accesso.

I ricercatori hanno ulteriormente individuato il problema scomponendo le molteplici fasi sequenziali dell’autenticazione EAP, scoprendo che la scarsa implementazione dell’ultima fase di questa autenticazione, chiamata “Autenticazione interna”, è la radice del problema.

Il problema sta nel fatto che non tutti i sistemi operativi implementano il controllo del certificato per proteggere correttamente la connessione: Android è tra questi sistemi operativi, hanno scritto i ricercatori.

“Quando viene visualizzata una rete con lo stesso nome Wi-Fi, i dispositivi Android non verificheranno se questo certificato è affidabile o meno e non notificheranno nemmeno all’utente il certificato”, hanno spiegato. “Ciò significa che se un utente Android ha abilitato la connessione automatica per una rete utilizzando un certificato server, i dispositivi Android proveranno automaticamente a connettersi a questa rete e invieranno le credenziali memorizzate”.

Anche un sistema operativo che implementa correttamente i controlli dei certificati può esporre i dati perché spesso un utente non sa cosa significhi un controllo del certificato e quindi consentirà la connessione anche se riceve un avviso sul certificato. Ciò significa che il problema può verificarsi anche su Windows.

Delle 3.100 configurazioni universitarie partecipanti a Euroam esaminate da WizCase, 2.100 sparse in tutta Europa sono potenzialmente interessate dal problema. WizCase ha contattato Eduroam a dicembre per divulgare i suoi risultati. I rappresentanti di Eduroam hanno affermato di essere a conoscenza dei “Eduroam identity providers che non seguono i requisiti della politica Eduroam e lasciano i propri utenti non protetti”, concordando che questo comportamento è “inaccettabile”. Non è chiaro però se Eduroam abbia contattato i suoi clienti per avvisarli del problema.