Riscos de segurança de "Redes Wi-Fi abertas"

9

Quão paranóico eu preciso ser para permitir que meu telefone se conecte a pontos de acesso WiFi abertos / não criptografados?

Realmente não me importo se outras pessoas veem meus dados (email sendo recebido ou enviado, cotações de ações, o que for). Eu acho que tudo o que realmente me importa é se elas veem minhas senhas (Gmail, Facebook etc.).

Eu entendo que provavelmente não quero iniciar uma conexão com uma instituição financeira e que estou potencialmente sujeito a ataques intermediários, mesmo que minhas senhas não sejam de texto não criptografado.

Observe que estou ciente desta pergunta e de sua resposta, e ela realmente não responde à minha pergunta porque se trata apenas dos dados: Quais dados sincronizados com o Android são criptografados?

Se esta pergunta já foi feita e respondida, aponte-me para ela. Pesquisei com o mecanismo embutido e o Google e não consegui encontrá-lo.

Paulo
fonte
11
Se você está preocupado com o twitter, sei que o Touiteur tem a opção de sempre usar uma conexão SSL, e é um dos melhores clientes. (Divulgação completa: Eu recentemente entrei no Touiteur e no Tweetcaster devido a pequenos erros nos dois)
Matthew Leia
Basicamente sim, você deve ser paranóico. Eu realmente gostaria que houvesse uma maneira simples para criptografar todo o tráfego do telefone: android.stackexchange.com/q/2962/693
endolith

Respostas:

7

Se você usa o navegador da Web Android para acessar sites que você fez login e que não usam uma página criptografada SSL enquanto os navega, deve estar muito paranóico.

Para ler sobre o complemento Firesheep no Firefox, ele usa o fato de que em uma conexão Wifi aberta e não criptografada, qualquer pessoa pode ouvir qualquer outra pessoa que esteja conectada ao tráfego de rede. Ele escuta os cookies que os laptops e telefones de outras pessoas enviam enquanto estão navegando, pega esses cookies e permite que você os use para fazer login em uma vasta lista de sites como essa pessoa. Ele não precisa capturar nomes ou senhas de login, portanto, não importa se você é cuidadoso em não inserir sua senha em nada por uma conexão aberta. Tudo o que precisa é do seu cookie e, em seguida, ele pode conectar outra pessoa ao seu Facebook, GMail ou Twitter, Amazon (eles podem até fazer pedidos com um clique em seu nome) etc. O BoingBoing tem um pouco mais de sobre o que isso demonstra sobre segurança na web.

O assustador é que o Firesheep não faz nada de mágico. Ele cria um processo que qualquer um poderia fazer (ouvindo o tráfego WiFi aberto e identificando os bits interessantes) e facilita com apenas um clique.

GAThrawn
fonte
Muito muito interessante. Eu tinha ouvido falar de Firesheep, mas não sabia o que fazia. Mas eu imagino que os cookies Firesheep são tipicamente cookies de sessão. Ou mesmo se não estiverem, a maioria dos sites com um nível razoável de segurança faz com que as credenciais salvas expirem periodicamente, digamos em duas semanas. Não estou realmente preocupado com alguém em uma cafeteria postando algum status estúpido no Facebook para mim. Estou preocupado com os hackers que vendem minhas contas, o que requer credenciais transferíveis com algum nível de durabilidade. Ou eu estou esquecendo de alguma coisa?
Paul
@Paul Você está certo de que isso só dá ao invasor acesso à sua sessão, se você está ciente disso e não está preocupado com a falsificação do Facebook, tudo bem. No entanto, o web mail é algo que está faltando. O acesso temporário a isso é incrivelmente útil para um invasor. Quando você se registra em sites, seus logins costumam ser enviados por e-mail para você, é muito fácil procurar no e-mail de alguém. Ou um invasor pode acessar vários sites e clicar no botão "Esqueceu a senha" para receber a senha por e-mail na conta que agora pode acessar. Para acesso a longo prazo, eles podem estabelecer uma regra que encaminha todos os emails para eles.
precisa
Mmmm. Obrigado. A segurança às vezes é tão complexa. Ainda assim, a barra agora é muito mais alta para eles. Poucos sites com segurança razoável enviarão a senha por e-mail; em vez disso, eles irão redefini-lo; nesse ponto, verei que algo está quebrado. Além disso, eu posso ver a regra de encaminhamento. Eu só quero estar seguro o suficiente para que as pessoas roubem de outro lugar em vez de me invadir. Parece-me que meu uso é suficiente para atender a esse critério, embora eu possa estar errado.
Paul
0

Depois de investigar a pergunta que eu vinculei acima, encontrei a página a seguir (traduzindo de Germain), onde os autores determinaram que a maioria dos aplicativos Android comuns que eles testavam não enviava senhas no texto não criptografado: http://www.heise.de/ mobil / artikel / Sicherheit-de-Apps-for-Android-und-iPhone-1103681.html? artikelseite = 6

Acontece que isso não é tão útil quanto a resposta do GAThrawn acima; Não entendi as ramificações completas dos cookies.

Paulo
fonte