Риски безопасности «Открытых сетей Wi-Fi»

9

Насколько параноидально мне нужно, чтобы разрешить моему телефону подключаться к открытым / незашифрованным точкам доступа WiFi?

Меня не волнует, увидят ли другие мои данные (получение или отправка электронной почты, котировки акций и т. Д.). Я думаю, что все, что меня действительно волнует, - видят ли они мои пароли (Gmail, Facebook и т. Д.).

Я понимаю, что, вероятно, не хочу инициировать соединение с финансовым учреждением, и что я потенциально подвержен атакам типа «человек посередине», даже если мои пароли не являются открытым текстом.

Обратите внимание, что мне известен этот вопрос и его ответ, и он на самом деле не отвечает на мой вопрос, потому что он касается только данных: какие данные для синхронизации с Android зашифрованы?

Если этот вопрос уже был задан и получен ответ, пожалуйста, укажите на него. Я искал со встроенным движком и Google и не смог его найти.

Павел
источник
1
Если вы вообще беспокоитесь о твиттере, я знаю, что у Touiteur всегда есть возможность использовать SSL-соединение, и в любом случае это один из лучших клиентов. (Полное раскрытие: я недавно провалился между Touiteur и Tweetcaster из-за небольших ошибок в обоих)
Мэтью Рид
В основном да, вы должны быть параноиком. Мне бы очень хотелось, чтобы был простой способ зашифровать весь трафик телефона: android.stackexchange.com/q/2962/693
endolith

Ответы:

7

Если вы используете веб-браузер Android для доступа к любым сайтам, в которые вы вошли, и которые не используют зашифрованную SSL-страницу, когда вы просматриваете их, то вы должны быть очень параноиком.

Были ли прочитанный до примерно Firesheep дополнение к Firefox, он использует тот факт , что на открытой, незашифрованном подключения Wi - Fi любой желающий может слушать кого - то , кто связан для сетевого трафика. Он прослушивает файлы cookie, которые ноутбуки и телефоны других людей отправляют во время просмотра, захватывает эти файлы cookie и позволяет использовать их для входа в обширный список веб-сайтов от имени этого пользователя. Ему не нужно захватывать логины или пароли, поэтому не имеет значения, если вы будете осторожны, не вводя свой пароль ни при каких обстоятельствах через открытое соединение. Все, что ему нужно, это ваш файл cookie, а затем он может войти в систему кого-то еще в ваш Facebook, или GMail, или Twitter, Amazon (они даже могут размещать заказы в один клик от вашего имени) и т.д. BoingBoing имеет немного больше на том, что это демонстрирует о веб-безопасности.

Страшно то, что Firesheep не делает ничего волшебного. Это просто делает процесс, который может сделать каждый (прослушивание открытого трафика WiFi и обнаружение интересных фрагментов), и делает его простым щелчком мыши.

GAThrawn
источник
Очень очень интересно Я слышал о Firesheep, но не знал, что он сделал. Но я бы предположил, что файлы cookie Firesheep обычно являются файлами cookie сеанса. Или даже если это не так, большинство сайтов с разумным уровнем безопасности заставляют сохраненные учетные данные периодически истекать, например, через 2 недели. Меня не очень беспокоит, что кто-то в кафе публикует для меня какой-то глупый статус на Facebook. Я обеспокоен тем, что хакеры продают мои учетные записи, для чего требуются передаваемые учетные данные с определенным уровнем надежности. Или я что-то упустил?
Пол
@Paul Вы правы, что это дает злоумышленнику доступ только к вашей сессии, если вы знаете об этом и не беспокоитесь о подделке Facebook, тогда ОК. Однако вам не хватает веб-почты. Временный доступ к этому невероятно полезен для злоумышленника. Когда вы регистрируетесь на веб-сайтах, ваши логины часто отправляются вам по электронной почте, что очень легко найти в чьей-либо электронной почте. Или злоумышленник может перейти на различные сайты и нажать кнопку «Забыли пароль», чтобы получить пароль по электронной почте для учетной записи, к которой он теперь имеет доступ. Для более длительного доступа они могут установить правило, которое пересылает всю почту на них.
GAThrawn
Мммм. Спасибо. Безопасность иногда бывает очень сложной. Тем не менее, планка теперь намного выше для них. Немногие сайты с разумной безопасностью собираются отправить им действительный пароль по электронной почте; вместо этого они сбросят его, и в этот момент я увижу, что что-то сломано. Также я вижу правило пересылки. Я просто хочу быть в безопасности, чтобы люди крали откуда-то еще, а не взламывали меня. Мне кажется, что моего использования достаточно, чтобы соответствовать этому критерию, хотя я могу ошибаться.
Пол
0

После изучения вопроса, на который я ссылался выше, я обнаружил следующую страницу (перевод от Жермена), где авторы определили, что большинство тестируемых ими приложений для Android не отправляют пароли в открытом виде: http://www.heise.de/ мобил / Artikel / Sicherheit-фон-приложения-Fuer-Android-унд-iPhone-1103681.html? artikelseite = 6

Оказывается, это не так полезно, как ответ GAThrawn выше; Я не понял всех последствий использования куки.

Павел
источник