Fråga:
Säkerhetsrisker med "Öppna Wi-Fi-nätverk"
Paul
2010-12-15 02:34:05 UTC
view on stackexchange narkive permalink

Hur paranoid måste jag handla om att låta min telefon ansluta till öppna / okrypterade WiFi-hotspots?

Jag bryr mig inte riktigt om andra ser mina uppgifter (e-post tas emot eller skickas, lager citat, vad som helst). Jag tror att allt jag verkligen bryr mig om är om de ser mina lösenord (Gmail, Facebook, etc.).

Jag förstår att jag förmodligen inte vill inleda en anslutning till en finansiell institution och att jag är potentiellt föremål för man-i-mitten-attacker även om mina lösenord inte är klartext.

Observera att jag är medveten om den här frågan och dess svar, och den svarar inte riktigt på min fråga för det handlar bara om data: Vilka Android-synkroniserade data är krypterade?

Om denna fråga redan har ställts och besvarats, vänligen peka mig på den. Jag sökte med den inbyggda motorn och Google och kunde inte hitta den.

Om du alls är orolig för twitter, vet jag att Touiteur har ett alternativ att alltid använda en SSL-anslutning, och det är ändå en av de bästa klienterna. (Fullständig information: Jag har nyligen floppat mellan Touiteur och Tweetcaster på grund av små buggar i båda)
I grund och botten ja, du borde vara paranoid. Jag önskar verkligen att det fanns ett enkelt sätt att kryptera all telefonens trafik: http://android.stackexchange.com/q/2962/693
Två svar:
GAThrawn
2010-12-15 04:12:53 UTC
view on stackexchange narkive permalink

Om du använder Android-webbläsaren för att komma åt webbplatser som du har loggat in och som inte använder en SSL-krypterad sida när du surfar på dem, bör du vara väldigt paranoid.

Läs igenom Firesheep -tillägget till Firefox, det använder det faktum att på en öppen, okrypterad Wifi-anslutning kan vem som helst lyssna på någon annan som är ansluten nätverkstrafik. Det lyssnar på kakor som andras bärbara datorer och telefoner skickar ut medan de surfar, tar tag i dessa kakor och låter dig använda dem för att logga in på en stor lista med webbplatser som den personen. Det behöver inte fångas inloggningsnamn eller lösenord, så det spelar ingen roll om du är försiktig med att inte ange ditt lösenord i något över en öppen anslutning. Allt du behöver är din cookie och sedan kan den logga in någon annan på din Facebook, eller Gmail, eller Twitter, Amazon (de kan till och med göra beställningar med ett klick på dina vägnar) etc. BoingBoing har lite mer om vad detta visar om webbsäkerhet.

Det läskiga är att Firesheep inte gör något magiskt. Det gör bara en process som vem som helst kan göra (lyssna på öppen WiFi-trafik och upptäcka intressanta bitar) och gör det enkelt att klicka.

Mycket väldigt intressant. Jag hade hört talas om Firesheep men visste inte vad det gjorde. Men jag kan föreställa mig att Firesheep-kakorna vanligtvis är sessionskakor. Eller även om de inte är det, gör de flesta webbplatser med en rimlig säkerhetsnivå att sparade referenser löper ut regelbundet, säg om två veckor. Jag är inte riktigt bekymrad över att någon i ett kafé lägger upp en dum Facebook-status åt mig. Jag är orolig för hackare som säljer mina konton, vilket kräver överförbara referenser med viss hållbarhet. Eller saknar jag något?
@Paul Du har rätt i att detta bara ger angriparen tillgång till din session, om du är medveten om detta och inte är orolig för Facebook-falska, OK. Men webbmail är en sak du saknar. Tillfällig tillgång till det är oerhört användbart för en angripare. När du registrerar dig för webbplatser skickas dina inloggningar ofta till dig, det är väldigt enkelt att söka efter i någons e-post. Eller en angripare kan gå till olika webbplatser och klicka på knappen "Glömt lösenord" för att få lösenordet per e-post till det konto de nu kan komma åt. För längre åtkomst kan de ställa in en regel som vidarebefordrar all e-post till dem.
Mmmm. Tack. Säkerhet är ibland så komplicerat. Ändå är stapeln nu mycket högre för dem. Få webbplatser med rimlig säkerhet kommer att skicka dem det faktiska lösenordet via e-post. istället kommer de att återställa det, vid vilken tidpunkt jag ser att något är trasigt. Jag kan också se vidarebefordringsregeln. Jag vill bara vara säker så att människor stjäl från någon annanstans istället för att hacka mig. Det låter för mig som om min användning är tillräcklig för att uppfylla detta kriterium, även om jag kan ha fel.
Paul
2010-12-15 10:24:30 UTC
view on stackexchange narkive permalink

Efter att ha undersökt frågan jag länkade ovan hittade jag följande sida (översatt från Germain), där författarna bestämde att majoriteten av vanliga Android-appar som de testade inte skickade lösenord i klartext: http: // www.heise.de/mobil/artikel/Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html?artikelseite=6

Visas att detta inte är lika användbart som GAThrawns svar ovan; Jag förstod inte de fullständiga konsekvenserna av cookies.



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 2.0-licensen som det distribueras under.
Loading...