Rischi per la sicurezza di "reti aperte Wi-Fi"

9

Quanto devo essere paranoico per consentire al mio telefono di connettersi a hotspot WiFi aperti / non crittografati?

Non mi interessa davvero se altre persone vedono i miei dati (e-mail ricevute o inviate, quotazioni di borsa, qualunque cosa). Penso che tutto ciò che mi interessa davvero sia se vedono le mie password (Gmail, Facebook, ecc.).

Capisco che probabilmente non voglio avviare una connessione con un istituto finanziario e che sono potenzialmente soggetto ad attacchi man-in-the-middle anche se le mie password non sono in chiaro.

Tieni presente che sono a conoscenza di questa domanda e della sua risposta e in realtà non risponde alla mia domanda perché riguarda solo i dati: quali dati sincronizzati Android sono crittografati?

Se questa domanda è già stata posta e ha risposto, per favore indicamelo. Ho cercato con il motore integrato e Google e non sono riuscito a trovarlo.

— Paolo
fonte

1

Se sei preoccupato per Twitter, so che Touiteur ha un'opzione per utilizzare sempre una connessione SSL, ed è comunque uno dei migliori client. (Informativa completa: di recente ho floppato tra Touiteur e Tweetcaster a causa di piccoli bug in entrambi)

— Matthew Leggi il

Fondamentalmente sì, dovresti essere paranoico. Vorrei davvero che ci fosse un modo semplice per crittografare tutto il traffico del telefono: android.stackexchange.com/q/2962/693

— endolith

7

Se si utilizza il browser Web Android per accedere a tutti i siti in cui è stato effettuato l'accesso e che non utilizzano una pagina crittografata SSL durante la navigazione, è necessario essere molto paranoici.

Leggi il componente aggiuntivo Firesheep su Firefox, utilizza il fatto che su una connessione Wifi aperta e non crittografata chiunque può ascoltare chiunque sia il traffico di rete connesso. Ascolta i cookie che i laptop e i telefoni di altre persone inviano durante la navigazione, acquisisce quei cookie e consente di utilizzarli per accedere a un vasto elenco di siti Web come quella persona. Non è necessario acquisire nomi di accesso o password, quindi non importa se stai attento a non inserire la password in qualcosa tramite una connessione aperta. Tutto ciò di cui ha bisogno è il tuo cookie e quindi può accedere a qualcun altro nel tuo Facebook, GMail o Twitter, Amazon (possono anche effettuare ordini One-Click per tuo conto) ecc. BoingBoing ha leggermente più su ciò che questo dimostra della sicurezza web.

La cosa spaventosa è che Firesheep non fa nulla di magico. Rende solo un processo che chiunque potrebbe fare (ascoltando il traffico WiFi aperto e individuando i bit interessanti) e lo rende facile con un clic.

— GAThrawn
fonte

Molto molto interessante Avevo sentito parlare di Firesheep ma non sapevo cosa facesse. Ma immagino che i biscotti Firesheep siano in genere cookie di sessione. O anche se non lo sono, la maggior parte dei siti con un livello ragionevole di sicurezza fa scadere periodicamente le credenziali salvate, diciamo tra 2 settimane. Non sono davvero preoccupato per qualcuno in un bar che pubblica uno stupido status di Facebook per me. Sono preoccupato per gli hacker che vendono i miei account, il che richiede credenziali trasferibili con un certo livello di durabilità. Oppure mi sfugge qualcosa?

— Paul,

@Paul Hai ragione nel dire che questo consente all'aggressore di accedere solo alla tua sessione, se ne sei consapevole e non sei preoccupato per lo spoofing di Facebook, allora OK. Tuttavia la web mail è una cosa che ti manca. L'accesso temporaneo a ciò è incredibilmente utile per un attaccante. Quando ti registri per siti Web, i tuoi accessi ti vengono spesso inviati tramite e-mail, è molto facile cercare nell'e-mail di qualcuno. Oppure un utente malintenzionato può accedere a vari siti e fare clic sul pulsante "Password dimenticata" per ricevere la password via e-mail sull'account a cui ora possono accedere. Per un accesso a lungo termine possono impostare una regola che inoltri tutta la posta su di essi.

— GAThrawn

Mmmm. Grazie. La sicurezza a volte è così complessa. Tuttavia, il bar è ora molto più alto per loro. Pochi siti con ragionevole sicurezza invieranno loro la password effettiva; invece lo resetteranno, a quel punto vedrò che qualcosa è rotto. Inoltre, posso vedere la regola di inoltro. Voglio solo essere abbastanza sicuro che le persone rubino da qualche altra parte invece di hackerarmi. Mi sembra che il mio utilizzo sia sufficiente per soddisfare quel criterio, anche se potrei sbagliarmi.

— Paul,

0

Dopo aver esaminato la domanda che ho collegato sopra, ho trovato la seguente pagina (traduzione da Germain), in cui gli autori hanno stabilito che la maggior parte delle comuni app Android che hanno testato non ha inviato password in chiaro: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Si scopre che questo non è utile quanto la risposta di GAThrawn sopra; Non ho capito le ramificazioni complete dei cookie.

— Paolo
fonte