Jeśli korzystam z bezpłatnego Wi-Fi w hotspocie, czy dane można łatwo wąchać?


21

Jeśli korzystam z mojego urządzenia mobilnego w hotspocie Wi-Fi, czy mogę przyjąć, że wiąże się to z takim samym ryzykiem, jak korzystanie z laptopa, ponieważ dane można łatwo obwąchać i że urządzenie mobilne jest również otwarte na ataki typu man-in-the-middle?


9
Warto zauważyć, że w otwartym wifi każdy użytkownik może z łatwością odczytać wszystkie zwykłe teksty wysyłane przez innych użytkowników. Jednak w sieci chronionej WPA , nawet jeśli klucz dostępu to wiedza „publiczna”, każdy komputer wciąż ma swój prywatny „kanał” kryptograficzny, co znacznie podsłuchuje podsłuchiwanie z innych podłączonych komputerów. Jednak jedynym sposobem na bycie prywatnym jest używanie tylko połączeń zabezpieczonych klient-serwer ( HTTPS ), i aby być naprawdę, naprawdę używaj wstępnie zapisanych zdalnych certyfikatów dla znanych witryn i skorzystaj z jakiejś metody, aby otrzymywać powiadomienia o zmianach certyfikatów.
Ilari Kajaste,

@Ilari Kajaste - Jak uzyskać dostęp do wstępnie zapisanych zdalnych certyfikatów dla znanych witryn lub czy mogę je pobrać na urządzenie mobilne?
PeanutsMonkey

Osobiście uważam, że sfałszowany scenariusz MITM certyfikatu jest na tyle rzadki, że można go bezpiecznie zignorować. To powiedziawszy, na pulpicie jest rozszerzenie Firefox o nazwie Certificate Patrol . Korzystając z tego, możesz najpierw po prostu odwiedzić wszystkie strony, a następnie rozszerzenie poinformuje Cię, jeśli ich certyfikaty uległy zmianie. Jednak nie wiem, czy istnieje coś podobnego dostępne dla systemu Android.
Ilari Kajaste

1
Nie do końca odpowiedź, ale istnieje aplikacja o nazwie WifiKill, która może przekierowywać ruch do telefonu, jeśli jest w tej samej sieci, i „zabijać” połączenie internetowe. Sądzę więc, że nietrudniej byłoby po prostu „wąchać” dane, jeśli nie są zaszyfrowane. forum.xda-developers.com/showthread.php?t=1282900
jadkik94 27.04.2012

Zobacz także: Zagrożenia bezpieczeństwa związane z otwartym Wi - Fi i Jakie dane synchronizowane z Androidem są szyfrowane? które mają znacznie więcej na temat zagrożeń bezpieczeństwa otwartego Wi
GAThrawn

Odpowiedzi:


21

Tak, jesteś narażony na takie same ryzyko, jak na laptopie (lub dowolnym innym urządzeniu, które łączy się z siecią bezprzewodową); aby ich uniknąć, obowiązują standardowe procedury bezpieczeństwa: nie używaj niezaszyfrowanych połączeń, którym nie ufasz i zawsze wolisz HTTPS do przeglądania.


Czy obowiązywałyby te same zasady bezpieczeństwa, czy są inne?
PeanutsMonkey

3
Te same zasady można stosować do dowolnego urządzenia, które łączy ponad bezprzewodowej: Używać tylko HTTPS stron internetowych, nie używaj niezaufanych sieci bezprzewodowych etc ...
Renan

6

Tak. Istnieją 2 różne problemy:

A. Atakujący wąchający i / lub przekierowujący cały ruch poprzez arp-spoofing.

Robią to już dwie różne aplikacje na Androida (oczywiście zabronione na rynku). Pamiętaj, że instalacja i testowanie ich w Twoim kraju może być nielegalne!

  • FaceNiff pozwala (nie wiem, czy nadal obowiązuje) szpiegować zalogowane dane logowania i przejąć konta na Facebooku i tym podobne.
  • Droidsheep robi to samo

B. Atakujący podszywający się pod Hotspot .

Wydaje mi się, że bardziej poważny. Umożliwia przejęcie telefonu w dowolnym momencie, jeśli wcześniej łączyłeś się ze znanym dostawcą hot-spotów.

Twój telefon z Androidem zwykle zapamiętuje znane hotspoty przy samych punktach dostępowych ESSID (jego nazwa) i próbuje ponownie połączyć się z nim za każdym razem, gdy zobaczy taki ESSID, aby ułatwić jego użycie. Umożliwia to atakującemu skonfigurowanie tak dobrze znanego ESSID, a Twój telefon chętnie się z nim połączy. Ponieważ nie będzie dotyczyło fałszowania arp, nie można łatwo wykryć tego zachowania.

Po prostu spróbuj sam, skonfiguruj telefon jako urządzenie nieszyfrowane za pomocą hotspotu ESSID i przekonaj się, ile połączeń uzyskasz w mgnieniu oka ... Być może użycie takiego ESSID nie jest nielegalne i nikt nie jest oszukiwany połączenie albo.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.