Rủi ro bảo mật của mạng mở mạng Wi-Fi

9

Tôi cần phải hoang tưởng đến mức nào khi cho phép điện thoại của mình kết nối với các điểm truy cập WiFi mở / không được mã hóa?

Tôi không thực sự quan tâm nếu người khác nhìn thấy dữ liệu của tôi (email được nhận hoặc gửi, báo giá chứng khoán, bất cứ điều gì). Tôi nghĩ tất cả những gì tôi thực sự quan tâm là liệu họ có thấy mật khẩu của tôi không (Gmail, Facebook, v.v.).

Tôi hiểu rằng có lẽ tôi không muốn bắt đầu kết nối với một tổ chức tài chính và rằng tôi có khả năng phải chịu các cuộc tấn công trung gian ngay cả khi mật khẩu của tôi không rõ ràng.

Xin lưu ý rằng tôi biết câu hỏi này và câu trả lời của nó, và nó không thực sự trả lời câu hỏi của tôi vì đó chỉ là về dữ liệu: Dữ liệu đồng bộ hóa Android nào được mã hóa?

Nếu câu hỏi này đã được hỏi và trả lời, xin vui lòng chỉ cho tôi. Tôi đã tìm kiếm với công cụ tích hợp và Google và không thể tìm thấy nó.

wi-fi  security  wifi-hotspot  password 
Paul
nguồn
1
Nếu bạn quan tâm đến twitter, tôi biết rằng Touiteur có một tùy chọn luôn sử dụng kết nối SSL và dù sao đó cũng là một trong những khách hàng tốt nhất. (Tiết lộ đầy đủ: Gần đây tôi đã thất bại giữa Touiteur và Tweetcaster do một số lỗi nhỏ ở cả hai)
Matthew Đọc
Về cơ bản là có, bạn nên bị hoang tưởng. Tôi thực sự muốn có một cách đơn giản để mã hóa tất cả lưu lượng truy cập của điện thoại: android.stackexchange.com/q/2962/693
endolith

Câu trả lời:

7

Nếu bạn sử dụng trình duyệt web Android để truy cập bất kỳ trang web nào bạn đã đăng nhập và không sử dụng trang được mã hóa SSL trong khi bạn duyệt chúng, thì bạn sẽ rất hoang tưởng.

Hãy đọc về tiện ích bổ sung Firesheep cho Firefox, nó sử dụng thực tế là trên kết nối Wifi mở, không được mã hóa, bất kỳ ai cũng có thể nghe bất kỳ ai khác đang kết nối lưu lượng mạng. Nó lắng nghe các cookie mà máy tính xách tay và điện thoại của người khác gửi trong khi họ đang duyệt, lấy các cookie đó và cho phép bạn sử dụng chúng để đăng nhập vào một danh sách lớn các trang web như người đó. Không cần phải nắm bắt tên đăng nhập hoặc mật khẩu, vì vậy không có vấn đề gì nếu bạn cẩn thận không nhập mật khẩu của mình vào bất cứ điều gì qua kết nối mở. Tất cả những gì nó cần là cookie của bạn và sau đó nó có thể đăng nhập người khác vào Facebook, hoặc Gmail, hoặc Twitter, Amazon (họ thậm chí có thể đặt hàng một lần nhấp thay cho bạn), v.v. BoingBaging có nhiều hơn một chút về những gì điều này thể hiện về bảo mật web.

Điều đáng sợ là Firesheep không làm được điều gì kỳ diệu. Nó chỉ tạo ra một quy trình mà bất cứ ai cũng có thể làm (nghe lưu lượng WiFi mở và phát hiện ra các bit thú vị) và làm cho nó dễ dàng bằng một cú nhấp chuột.

GAThrawn
nguồn
Rất rất thú vị. Tôi đã nghe nói về Firesheep nhưng không biết nó đã làm gì. Nhưng tôi sẽ tưởng tượng rằng cookie Firesheep thường là cookie phiên. Hoặc ngay cả khi chúng không phải, hầu hết các trang web có mức độ bảo mật hợp lý sẽ khiến thông tin lưu trữ hết hạn theo định kỳ, trong vòng 2 tuần. Tôi không thực sự quan tâm đến việc ai đó trong quán cà phê đăng một số trạng thái ngu ngốc trên Facebook cho tôi. Tôi lo ngại về việc tin tặc bán tài khoản của tôi, yêu cầu thông tin xác thực có thể chuyển nhượng với một số mức độ bền. Hay tôi đang thiếu một cái gì đó?
Paul
@Paul Bạn nói đúng rằng điều này chỉ cung cấp cho kẻ tấn công quyền truy cập vào phiên của bạn, nếu bạn biết điều này và không lo lắng về việc giả mạo Facebook thì OK. Tuy nhiên thư trên web là một thứ bạn đang thiếu. Truy cập tạm thời vào đó là vô cùng hữu ích cho một kẻ tấn công. Khi bạn đăng ký trang web, thông tin đăng nhập của bạn thường được gửi qua email cho bạn, điều đó rất dễ tìm kiếm trong email của ai đó. Hoặc kẻ tấn công có thể truy cập các trang web khác nhau và nhấp vào nút "Quên mật khẩu" để nhận mật khẩu được gửi qua email đến tài khoản mà họ hiện có thể truy cập. Để truy cập lâu dài, họ có thể thiết lập một quy tắc chuyển tiếp tất cả thư đến chúng.
GAThrawn
Ừm. Cảm ơn. An ninh đôi khi rất phức tạp. Tuy nhiên, thanh bây giờ cao hơn nhiều đối với họ. Rất ít trang web có bảo mật hợp lý sẽ gửi email cho họ mật khẩu thực tế; thay vào đó họ sẽ thiết lập lại nó, tại thời điểm đó tôi sẽ thấy một cái gì đó bị hỏng. Ngoài ra, tôi có thể thấy quy tắc chuyển tiếp. Tôi chỉ muốn được an toàn đủ để mọi người ăn cắp từ nơi khác thay vì hack tôi. Đối với tôi có vẻ như việc sử dụng của tôi là đủ để đáp ứng tiêu chí đó, mặc dù tôi có thể sai.
Paul
0

Sau khi điều tra câu hỏi tôi liên kết ở trên, tôi tìm thấy trang sau (dịch từ Germain), nơi các tác giả xác định rằng phần lớn các ứng dụng Android phổ biến mà họ đã kiểm tra không gửi mật khẩu trong phần văn bản rõ ràng: http://www.heise.de/ Mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Hóa ra điều này không hữu ích như câu trả lời của GAThrawn ở trên; Tôi không hiểu sự phân chia đầy đủ của cookie.

Paul
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.