“Açık Wi-Fi Ağlarının” güvenlik riskleri

9

Telefonumun açık / şifrelenmemiş WiFi erişim noktalarına bağlanmasına izin vermek için ne kadar paranoyak olmam gerekiyor?

Başkalarının verilerimi görüp görmediğini umursamıyorum (e-posta alınıyor veya gönderiliyor, hisse senedi fiyatları, her neyse). Sanırım gerçekten önemsediğim parolalarımı (Gmail, Facebook, vb.) Görüp görmedikleri.

Muhtemelen bir finansal kuruluşla bağlantı kurmak istemediğimi ve şifrelerim açık metin olmasa bile potansiyel olarak ortadaki adam saldırılarına maruz kaldığımı anlıyorum.

Lütfen bu sorunun ve cevabının farkında olduğumu ve bunun yalnızca verilerle ilgili olduğu için sorumu gerçekten cevaplamadığını unutmayın: Hangi Android senkronize edilmiş veriler şifrelenir?

Bu soru zaten sorulmuş ve cevaplanmışsa, lütfen bana yöneltin. Yerleşik motor ve Google ile arama yaptım ve bulamadım.

— Paul
kaynak

1

Twitter'dan endişe ediyorsanız, Touiteur'un her zaman bir SSL bağlantısı kullanma seçeneğinin olduğunu biliyorum ve bu zaten en iyi istemcilerden biri. (Tam açıklama: Touiteur ve Tweetcaster arasında her ikisinde de küçük hatalar nedeniyle yüzdüm)

— Matthew Read

Temel olarak evet, paranoyak olmalısın. Gerçekten tüm telefon trafiğini şifrelemek için basit bir yol olsaydı: android.stackexchange.com/q/2962/693

— endolith

7

Oturum açtığınız herhangi bir siteye erişmek ve onlara göz atarken SSL şifreli bir sayfa kullanmayan Android web tarayıcısını kullanıyorsanız, çok paranoyak olmalısınız.

Firefox'un Firesheep eklentisi hakkında bir okuma yapın , açık, şifrelenmemiş bir Wifi bağlantısında herkesin bağlı olan ağ trafiğini başkalarını dinleyebileceği gerçeğini kullanır. Diğer kişilerin dizüstü bilgisayarlarının ve telefonlarının göz atarken gönderdikleri çerezleri dinler, bu çerezleri alır ve bu kişi olarak geniş bir web sitesi listesine giriş yapmak için kullanmanıza izin verir. Giriş adlarını veya şifreleri yakalaması gerekmez, bu nedenle şifrenizi açık bir bağlantı üzerinden herhangi bir şeye girmemek konusunda dikkatli olmanız önemli değildir. Tek ihtiyacınız olan çerezinizdir ve daha sonra Facebook, GMail veya Twitter, Amazon'da başka birisine giriş yapabilir (hatta sizin adınıza Tek Tıkla sipariş verebilirler ) vb. bunun web güvenliği hakkında neler gösterdiğine dair.

Korkutucu şey, Firesheep'in sihir bir şey yapmamasıdır. Sadece herkesin yapabileceği bir işlem yapar (WiFi trafiğini dinlemek ve ilginç bitleri tespit etmek) ve tek tıklamayı kolaylaştırır.

— GAThrawn
kaynak

Çok çok ilginç. Firesheep'i duymuştum ama ne yaptığını bilmiyordum. Ancak Firesheep çerezlerinin genellikle oturum çerezleri olduğunu hayal ediyorum. Ya da olmasalar bile, makul düzeyde bir güvenlik düzeyine sahip sitelerin çoğu, kaydedilen kimlik bilgilerinin süresinin dolmasını 2 hafta içinde periyodik olarak yapar. Bir kafede benim için aptal bir Facebook statüsü gönderen biriyle gerçekten ilgili değilim. Hesaplarımı satan bilgisayar korsanlarından endişe duyuyorum, bu da bir miktar dayanıklılık ile aktarılabilir kimlik bilgileri gerektiriyor. Yoksa bir şey mi kaçırıyorum?

— Paul

@Paul Bunun farkındaysanız ve Facebook sahteciliği konusunda endişelenmiyorsanız, saldırganın oturumunuza erişmesine izin verdiğinizden emin olabilirsiniz. Ancak web postası eksik olan bir şeydir. Buna geçici erişim bir saldırgan için inanılmaz derecede faydalıdır. Web sitelerine kaydolduğunuzda giriş bilgileriniz genellikle size e-postayla gönderilir; bu, birinin e-postasında aramak çok kolaydır. Veya bir saldırgan çeşitli sitelere gidebilir ve şimdi erişebilecekleri hesaba e-postayla gönderilen şifreyi almak için "Şifremi unuttum" düğmesini tıklayabilir. Daha uzun süreli erişim için, tüm postaları kendilerine yönlendiren bir kural oluşturabilirler.

— GAThrawn

Hımmm. Teşekkürler. Güvenlik bazen çok karmaşıktır. Yine de, bar şimdi onlar için çok daha yüksek. Makul güvenlikli birkaç site onlara gerçek şifreyi e-postayla gönderecektir; bunun yerine sıfırlayacaklar, bu noktada bir şeyin bozuk olduğunu göreceğim. Ayrıca, yönlendirme kuralını da görebiliyorum. Sadece insanların beni kesmek yerine başka bir yerden çalmasına yetecek kadar güvende olmak istiyorum. Bana yanlış gelse de kullanımımın bu kriteri karşılaması yeterli gibi geliyor.

— Paul

0

Yukarıda bağladığım soruyu araştırdıktan sonra, yazarların test ettikleri yaygın Android uygulamalarının çoğunun açık bir şekilde şifre göndermediğini belirledikleri aşağıdaki sayfayı (Germain'den çeviri) buldum: http://www.heise.de/ mobil / artikel / Sicherheit-von-Uygulamalar-für-Android-und-iPhone 1103681.html? artikelseite = 6

Bunun GAThrawn'ın yukarıdaki cevabı kadar yararlı olmadığı anlaşılıyor; Çerezlerin tam sonuçlarını anlamadım.

— Paul
kaynak