Ризики безпеки "Відкритих мереж Wi-Fi"

9

Наскільки параноїдальним я повинен бути, щоб дозволити своєму телефону підключитися до відкритих / незашифрованих точок доступу Wi-Fi?

Мені дуже не байдуже, чи бачать мої дані інші люди (отримані або надіслані електронною поштою, котирування акцій тощо) Я думаю, що все, що мені дуже важливо, - чи бачать вони мої паролі (Gmail, Facebook тощо).

Я розумію, що, мабуть, не хочу ініціювати зв’язок з фінансовою установою, і що я потенційно піддаюся атакам "людина-в-середині", навіть якщо мої паролі не мають чіткого тексту.

Зауважте, що мені відомо про це питання та його відповідь, і він насправді не відповідає на моє запитання, оскільки йдеться лише про дані: Які дані синхронізованих даних Android зашифровані?

Якщо це питання вже було задано і відповіли, будь ласка, вкажіть мені його. Я шукав за допомогою вбудованого двигуна та Google і не зміг його знайти.

— Пол
джерело

1

Якщо вас турбує щебетати взагалі, я знаю, що у Touiteur є можливість завжди використовувати SSL-з'єднання, і це один із найкращих клієнтів у будь-якому разі. (Повне розкриття інформації: нещодавно я перекинувся між Туйтером та Tweetcaster через невеликі помилки в обох)

— Метью

В основному так, ви повинні бути параноїком. Я дуже хочу, щоб був простий спосіб шифрувати весь трафік телефону: android.stackexchange.com/q/2962/693

— endolith

7

Якщо ви використовуєте веб-браузер Android для доступу до будь-яких веб-сайтів, на яких ви ввійшли, і не використовуєте зашифровану SSL сторінку під час їх перегляду, ви повинні бути дуже параноїчними.

Ознайомтеся з додатком Firesheep до Firefox, він використовує той факт, що на відкритому незашифрованому Wi-Fi з'єднанні кожен може слухати будь-кого іншого, до якого підключений мережевий трафік. Він слухає файли cookie, які надсилають ноутбуки та телефони інших людей під час їх перегляду, захоплює ці файли cookie та дозволяє використовувати їх для входу у величезний список веб-сайтів як цієї людини. Тут не потрібно фіксувати імена для входу або паролі, тому не має значення, якщо ви обережно ставитеся до того, щоб не вводити свій пароль ні в якому разі через відкрите з'єднання. Все, що вам потрібно, це ваше печиво, і тоді він може ввійти когось іншого у ваш Facebook, або GMail, або Twitter, Amazon (вони можуть навіть розміщувати замовлення одним клацанням від вашого імені) тощо. BoingBoing має трохи більше про те, що це демонструє про безпеку в Інтернеті.

Страшно в тому, що Firesheep не робить нічого магічного. Це просто робить процес, який може зробити кожен (прослуховування відкритого трафіку WiFi та виявлення цікавих біт) і робить його одним кліком легко.

— GAThrawn
джерело

Дуже дуже цікаво. Я чув про Firesheep, але не знав, що це робиться. Але я думаю, що файли cookie Firesheep - це зазвичай файли cookie сеансу. Або навіть якщо їх немає, більшість сайтів з певним рівнем безпеки роблять збережені облікові дані періодично закінчуються, скажімо, через 2 тижні. Я не дуже переймаюся тим, що хтось із кав’ярень публікує для мене якийсь дурний статус у Facebook. Я стурбований тим, що хакери продають мої акаунти, що вимагає переданих облікових даних з певним рівнем довговічності. Або я щось пропускаю?

— Пол

@Paul Ви маєте рацію, що це дає лише зловмиснику доступ до вашого сеансу, якщо ви про це знаєте і не переймаєтесь тим, що Facebook підробляє підробку. Однак веб-пошта - це одне, чого вам не вистачає. Тимчасовий доступ до цього неймовірно корисний для зловмисника. Коли ви реєструєтесь на веб-сайтах, ваші логіни часто надсилаються вам електронною поштою, це дуже легко знайти в чиїйсь пошті. Або зловмисник може зайти на різні сайти і натиснути кнопку "Забули пароль", щоб отримати пароль, надісланий електронною поштою, до якого можна отримати доступ. Для більш тривалого доступу вони можуть встановити правило, яке пересилає всю пошту на них.

— GAThrawn

Мммм. Дякую. Безпека буває настільки складною. І все-таки планка зараз для них набагато вища. Небагато сайтів з розумною безпекою збираються надіслати їм фактичний пароль; натомість вони скинуть його, і тоді я побачу, що щось порушено. Також я бачу правило переадресації. Я просто хочу бути достатньо захищеним, щоб люди крали звідкись, а не ламали мене. Мені здається, моє використання достатньо, щоб відповідати цьому критерію, хоча я можу помилитися.

— Павло

0

Дослідивши питання, яке я пов’язував вище, я знайшов наступну сторінку (переклад з Жермен), де автори визначили, що більшість поширених тестованих програм для Android не надсилають паролі в чіткому тексті: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Виявляється, це не так корисно, як відповідь GAThrawn вище; Я не розумів повних наслідків cookie.

— Пол
джерело