Riesgos de seguridad de "Redes Wi-Fi abiertas"

9

¿Qué tan paranoico debo ser para permitir que mi teléfono se conecte a puntos de acceso WiFi abiertos / sin cifrar?

Realmente no me importa si otras personas ven mis datos (correo electrónico recibido o enviado, cotizaciones de acciones, lo que sea). Creo que todo lo que realmente me importa es si ven mis contraseñas (Gmail, Facebook, etc.).

Entiendo que probablemente no quiera iniciar una conexión con una institución financiera, y que estoy potencialmente sujeto a ataques de intermediarios, incluso si mis contraseñas no son texto claro.

Tenga en cuenta que estoy al tanto de esta pregunta y su respuesta, y realmente no responde a mi pregunta porque se trata solo de los datos: ¿qué datos sincronizados de Android están cifrados?

Si esta pregunta ya ha sido formulada y respondida, indíquemela. Busqué con el motor incorporado y Google y no pude encontrarlo.

Pablo
fuente
1
Si le preocupa Twitter en absoluto, sé que Touiteur tiene la opción de usar siempre una conexión SSL, y de todos modos es uno de los mejores clientes. (Divulgación completa: recientemente he fracasado entre Touiteur y Tweetcaster debido a pequeños errores en ambos)
Matthew Read
Básicamente sí, deberías ser paranoico. Realmente desearía que hubiera una forma simple de cifrar todo el tráfico del teléfono: android.stackexchange.com/q/2962/693
endolith

Respuestas:

7

Si usa el navegador web de Android para acceder a los sitios en los que ha iniciado sesión y que no usan una página cifrada SSL mientras los navega, entonces debería estar muy paranoico.

Lea sobre el complemento Firesheep para Firefox, utiliza el hecho de que en una conexión Wifi abierta y sin cifrar, cualquiera puede escuchar a cualquier otra persona que esté conectada al tráfico de red. Escucha las cookies que las computadoras portátiles y los teléfonos de otras personas envían mientras navegan, toma esas cookies y le permite usarlas para iniciar sesión en una amplia lista de sitios web como esa persona. No necesita capturar nombres de usuario o contraseñas, por lo que no importa si tiene cuidado de no ingresar su contraseña en una conexión abierta. Todo lo que necesita es su cookie y luego puede registrar a otra persona en su Facebook, o GMail, o Twitter, Amazon (incluso pueden hacer pedidos con un clic en su nombre), etc. BoingBoing tiene un poco más sobre lo que esto demuestra sobre la seguridad web.

Lo que da miedo es que Firesheep no hace nada mágico. Simplemente hace un proceso que cualquiera podría hacer (escuchar el tráfico WiFi abierto y detectar los bits interesantes) y lo hace fácil con un solo clic.

GAThrawn
fuente
Muy muy interesante. Había oído hablar de Firesheep pero no sabía lo que hacía. Pero me imagino que las cookies de Firesheep son típicamente cookies de sesión. O incluso si no lo son, la mayoría de los sitios con un nivel razonable de seguridad hacen que las credenciales guardadas caduquen periódicamente, digamos en 2 semanas. Realmente no me preocupa que alguien en una cafetería publique un estado estúpido de Facebook para mí. Me preocupan los hackers que venden mis cuentas, lo que requiere credenciales transferibles con cierto nivel de durabilidad. ¿O me estoy perdiendo algo?
Paul
@Paul Tienes razón en que esto solo le da acceso al atacante a tu sesión, si eres consciente de esto y no te preocupa la suplantación de identidad de Facebook, entonces está bien. Sin embargo, el correo web es una cosa que te falta. El acceso temporal a eso es increíblemente útil para un atacante. Cuando se registra para sitios web, sus inicios de sesión a menudo se le envían por correo electrónico, es muy fácil de buscar en el correo electrónico de alguien. O un atacante puede ir a varios sitios y hacer clic en el botón "Olvidé mi contraseña" para que la contraseña se envíe por correo electrónico a la cuenta a la que ahora pueden acceder. Para un acceso a más largo plazo, pueden establecer una regla que reenvíe todo el correo a ellos.
GAThrawn
Mmmm Gracias. La seguridad es tan compleja a veces. Aún así, la barra ahora es mucho más alta para ellos. Pocos sitios con seguridad razonable les enviarán por correo electrónico la contraseña real; en su lugar, lo restablecerán, en ese momento veré que algo está roto. Además, puedo ver la regla de reenvío. Solo quiero estar lo suficientemente seguro como para que la gente robe de otro lugar en lugar de hackearme. Me parece que mi uso es suficiente para cumplir ese criterio, aunque podría estar equivocado.
Paul
0

Después de investigar la pregunta que vinculé anteriormente, encontré la siguiente página (traducida de Germain), donde los autores determinaron que la mayoría de las aplicaciones comunes de Android que probaron no enviaban contraseñas en el texto sin cifrar: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Resulta que esto no es tan útil como la respuesta de GAThrawn anterior; No entendí las ramificaciones completas de las cookies.

Pablo
fuente