In mei publiceerden Mathy en Top10VPN “SSID Confusion attack” waarin ze aantonen dat een hacker een wifi-client (apparaat) kan laten verbinden met een ander SSID als daarop dezelfde inloggegevens in gebruik zijn. Dat kan gevaarlijk zijn omdat een hacker dan het dataverkeer van de gebruiker kan omleiden om het vervolgens af te luisteren of te manipuleren. Door de opzet van govroam, gebaseerd op eduroam, is deze kwetsbaarheid op govroam niet van toepassing. Over eduroam (en dus govroam) schrijft de schrijver expliciet “the attack is only possible if the RADIUS server common name and certificate is used by different SSIDs”. Dat kan bij sommige Deelnemers het geval zijn als dezelfde WPA2-Enteprise-infrastructuur ook voor andere wifi-netwerken dan govroam gebruikt wordt. Zolang de clients het server-certificaat van de RADIUS server goed controleren, een verplicht onderdeel van de implementatie van govroam, kan deze hack niet toegepast worden. Dat is uiteraard ook het geval bij onze diensten govguest en getgovroam. Vragen over dit onderwerp? Mail naar tech@govroam.nl.
