Zagrożenia bezpieczeństwa związane z „otwartymi sieciami Wi-Fi”

9

Jak bardzo potrzebuję paranoi, aby mój telefon mógł łączyć się z otwartymi / nieszyfrowanymi hotspotami Wi-Fi?

Nie obchodzi mnie to, czy inne osoby widzą moje dane (e-mail jest odbierany lub wysyłany, notowania giełdowe itp.). Myślę, że wszystko, na czym mi zależy, to czy widzą moje hasła (Gmail, Facebook itp.).

Rozumiem, że prawdopodobnie nie chcę nawiązać połączenia z instytucją finansową i że potencjalnie jestem narażony na ataki typu man-in-the-middle, nawet jeśli moje hasła nie są czystym tekstem.

Pamiętaj, że jestem świadomy tego pytania i jego odpowiedzi i tak naprawdę nie odpowiada na moje pytanie, ponieważ dotyczy tylko danych: Jakie dane synchronizowane z Androidem są szyfrowane?

Jeśli to pytanie zostało już zadane i udzielono odpowiedzi, proszę o wskazanie mnie. Szukałem za pomocą wbudowanego silnika i Google i nie mogłem go znaleźć.

Paweł
źródło
1
Jeśli martwisz się w ogóle o Twittera, wiem, że Touiteur ma opcję, aby zawsze korzystać z połączenia SSL i jest to jeden z najlepszych klientów. (Pełne ujawnienie: Ostatnio flopowałem między Touiteur i Tweetcaster z powodu drobnych błędów w obu)
Matthew Read
Zasadniczo tak, powinieneś być paranoikiem. Naprawdę chciałbym, aby istniał prosty sposób szyfrowania całego ruchu telefonu: android.stackexchange.com/q/2962/693
endolith

Odpowiedzi:

7

Jeśli korzystasz z przeglądarki internetowej na Androidzie, aby uzyskać dostęp do stron, na które się zalogowałeś i które nie korzystają ze strony szyfrowanej za pomocą protokołu SSL podczas ich przeglądania, powinieneś być bardzo paranoikiem.

Przeczytaj o dodatku Firesheep do Firefoksa, wykorzystuje fakt, że na otwartym, niezaszyfrowanym połączeniu Wi-Fi każdy może słuchać każdego, kto jest połączony z siecią. Nasłuchuje plików cookie, które laptopy i telefony innych osób wysyłają podczas przeglądania, pobiera te pliki cookie i umożliwia ich użycie do zalogowania się na szerokiej liście witryn internetowych jako ta osoba. Nie musi przechwytywać nazw logowania ani haseł, więc nie ma znaczenia, czy jesteś ostrożny, aby nie wprowadzać hasła do czegokolwiek w otwartym połączeniu. Wszystko czego potrzebuje to Twój plik cookie, a następnie może zalogować kogoś innego na Twoim Facebooku, GMailu lub Twitterze, Amazon (mogą nawet składać zamówienia w Twoim imieniu) itp. BoingBoing ma nieco więcej o tym, co pokazuje to na temat bezpieczeństwa w sieci

Straszne jest to, że Firesheep nie robi magii. To po prostu proces, który każdy może zrobić (słuchanie otwartego ruchu Wi-Fi i wykrywanie interesujących bitów) i sprawia, że ​​jest to łatwe jednym kliknięciem.

GAThrawn
źródło
Bardzo bardzo interesujące. Słyszałem o Firesheep, ale nie wiedziałem, co to zrobiło. Ale wyobrażam sobie, że ciasteczka Firesheep są zazwyczaj ciasteczkami sesyjnymi. A nawet jeśli nie są, większość witryn z pewnym poziomem bezpieczeństwa powoduje, że zapisane poświadczenia wygasają okresowo, powiedzmy za 2 tygodnie. Tak naprawdę nie martwię się, że ktoś w kawiarni opublikuje dla mnie jakiś głupi status na Facebooku. Obawiam się, że hakerzy sprzedają moje konta, co wymaga zbywalnych poświadczeń o pewnym poziomie trwałości. A może coś mi brakuje?
Paul,
@Paul Masz rację, że daje to atakującemu dostęp tylko do twojej sesji, jeśli jesteś tego świadomy i nie martwisz się fałszowaniem Facebooka, to OK. Jednak poczty internetowej brakuje tylko jednej rzeczy. Tymczasowy dostęp do tego jest niezwykle przydatny dla atakującego. Gdy rejestrujesz się w witrynach internetowych, twoje dane logowania są często wysyłane do Ciebie pocztą e-mail, bardzo łatwo jest wyszukać w czyimś e-mailu. Osoba atakująca może też przejść do różnych witryn i kliknąć przycisk „Nie pamiętam hasła”, aby otrzymać hasło w wiadomości e-mail na konto, do którego mają dostęp. W przypadku długoterminowego dostępu mogą ustanowić regułę, która przekierowuje na nie całą pocztę.
GAThrawn
Mmmm Dzięki. Bezpieczeństwo jest czasami tak złożone. Mimo to pasek jest teraz dla nich znacznie wyższy. Niewiele stron o rozsądnym bezpieczeństwie wyśle ​​im aktualne hasło; zamiast tego zresetują go, w którym momencie zobaczę, że coś jest zepsute. Widzę też regułę przekazywania. Chcę być na tyle bezpieczny, że ludzie kradną gdzie indziej, zamiast mnie rąbać. Wydaje mi się, że moje użycie jest wystarczające, aby spełnić to kryterium, chociaż mogę się mylić.
Paul
0

Po zbadaniu pytania, które podałem powyżej, znalazłem następującą stronę (tłumaczącą z Germaina), na której autorzy stwierdzili, że większość popularnych testowanych aplikacji na Androida nie wysyłała haseł w postaci jawnego tekstu: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Okazuje się, że nie jest to tak pomocne, jak powyższa odpowiedź GAThrawna; Nie zrozumiałem pełnego wpływu plików cookie.

Paweł
źródło