ความเสี่ยงด้านความปลอดภัยของ“ Open Wi-Fi Networks”

9

ฉันต้องหวาดระแวงเกี่ยวกับการอนุญาตให้โทรศัพท์ของฉันเชื่อมต่อกับฮอตสปอต WiFi แบบเปิด / ไม่ได้เข้ารหัสหรือไม่

ฉันไม่สนใจว่าคนอื่นจะเห็นข้อมูลของฉันหรือไม่ (กำลังได้รับหรือส่งอีเมลราคาหุ้นหรืออะไรก็ตาม) ฉันคิดว่าสิ่งที่ฉันสนใจจริงๆคือพวกเขาเห็นรหัสผ่านของฉัน (Gmail, Facebook และอื่น ๆ )

ฉันเข้าใจว่าฉันอาจไม่ต้องการเริ่มการเชื่อมต่อกับสถาบันการเงินและฉันอาจต้องเผชิญกับการโจมตีจากคนกลางแม้ว่ารหัสผ่านของฉันจะไม่ชัดเจน

โปรดทราบว่าฉันตระหนักถึงคำถามนี้และคำตอบแล้วและมันก็ไม่ได้ตอบคำถามของฉันเพราะมันเป็นเพียงข้อมูล: ข้อมูลซิงค์ของ Android ใดที่ถูกเข้ารหัส

หากคำถามนี้ได้รับการถามและตอบแล้วโปรดชี้ไปที่ฉัน ฉันค้นหาด้วยเครื่องยนต์ในตัวและ Google และหาไม่พบ

— พอล
แหล่งที่มา

1

หากคุณกังวลเรื่องตัวสั่นด้วยความตื่นเต้นฉันรู้ว่า Touiteur มีตัวเลือกให้ใช้การเชื่อมต่อ SSL เสมอและเป็นหนึ่งในลูกค้าที่ดีที่สุด (การเปิดเผยอย่างเต็มรูปแบบ: เมื่อเร็ว ๆ นี้ฉันได้พบกันระหว่าง Touiteur และ Tweetcaster เนื่องจากข้อบกพร่องเล็ก ๆ ทั้งคู่)

— Matthew อ่าน

โดยพื้นฐานแล้วคุณควรจะหวาดระแวง ฉันหวังว่าจะมีวิธีง่าย ๆ ในการเข้ารหัสการรับส่งข้อมูลของโทรศัพท์: android.stackexchange.com/q/2962/693

— endolith

7

หากคุณใช้เว็บเบราว์เซอร์ Android เพื่อเข้าถึงไซต์ใด ๆ ที่คุณลงชื่อเข้าใช้และไม่ได้ใช้เพจที่เข้ารหัส SSL ในขณะที่คุณเรียกดูคุณควรหวาดระแวงมาก

ลองอ่านเกี่ยวกับFiresheep add-on สำหรับ Firefox มันใช้ข้อเท็จจริงที่ว่าในการเชื่อมต่อ Wifi แบบเปิดที่ไม่มีการเข้ารหัสทุกคนสามารถฟังคนอื่น ๆ ที่เชื่อมต่อกับเครือข่ายของเครือข่าย มันจะคอยฟังคุกกี้ที่แล็ปท็อปและโทรศัพท์ของผู้อื่นส่งออกไปในขณะที่พวกเขากำลังค้นหาคว้าคุกกี้เหล่านั้นและให้คุณใช้เพื่อเข้าสู่รายการเว็บไซต์มากมายในฐานะบุคคลนั้น ไม่จำเป็นต้องเก็บชื่อล็อกอินหรือรหัสผ่านดังนั้นจึงไม่สำคัญว่าคุณระมัดระวังที่จะไม่ป้อนรหัสผ่านของคุณลงในการเชื่อมต่อแบบเปิด ทั้งหมดที่คุณต้องการก็คือคุกกี้ของคุณและจากนั้นก็สามารถบันทึกคนอื่น ๆ ใน Facebook ของคุณหรือ GMail หรือ Twitter, Amazon (พวกเขาสามารถวางคำสั่งซื้อแบบคลิกเดียวในนามของคุณ)เป็นต้นBoingBoing มีอีกเล็กน้อย สิ่งนี้แสดงให้เห็นถึงความปลอดภัยของเว็บ

สิ่งที่น่ากลัวคือ Firesheep ไม่ได้ทำสิ่งมหัศจรรย์ มันแค่สร้างกระบวนการที่ทุกคนสามารถทำได้ (ฟังเพื่อเปิดทราฟฟิก WiFi และระบุบิตที่น่าสนใจ) และทำให้ง่ายในคลิกเดียว

— GAThrawn
แหล่งที่มา

น่าสนใจมาก ๆ ฉันได้ยินของ Firesheep แต่ไม่รู้ว่ามันทำอะไร แต่ฉันคิดว่าคุกกี้ Firesheep มักเป็นคุกกี้เซสชัน หรือแม้ว่าจะไม่ใช่เว็บไซต์ส่วนใหญ่ที่มีระดับความปลอดภัยที่เหมาะสมทำให้ข้อมูลรับรองที่บันทึกไว้นั้นหมดอายุเป็นระยะ ๆ พูดใน 2 สัปดาห์ ฉันไม่ได้กังวลเกี่ยวกับใครบางคนในร้านกาแฟที่โพสต์สถานะ Facebook งี่เง่าสำหรับฉัน ฉันกังวลเกี่ยวกับแฮ็กเกอร์ที่ขายบัญชีของฉันซึ่งต้องการข้อมูลประจำตัวที่สามารถถ่ายโอนได้ซึ่งมีความทนทานในระดับหนึ่ง หรือฉันกำลังพลาดอะไรอยู่?

— พอล

@Paul คุณถูกต้องเพียงแค่นี้จะช่วยให้ผู้โจมตีเข้าถึงเซสชั่นของคุณหากคุณตระหนักถึงเรื่องนี้และไม่ต้องกังวลเกี่ยวกับการปลอมแปลง Facebook แล้วตกลง อย่างไรก็ตามเว็บเมลเป็นสิ่งหนึ่งที่คุณขาดหายไป การเข้าถึงข้อมูลชั่วคราวนั้นมีประโยชน์อย่างเหลือเชื่อสำหรับผู้โจมตี เมื่อคุณลงทะเบียนสำหรับเว็บไซต์การเข้าสู่ระบบของคุณมักจะส่งอีเมลถึงคุณนั่นเป็นเรื่องง่ายมากที่จะค้นหาในอีเมลของใครบางคน หรือผู้โจมตีสามารถไปยังไซต์ต่าง ๆ และคลิกปุ่ม "ลืมรหัสผ่าน" เพื่อรับรหัสผ่านที่ส่งอีเมลไปยังบัญชีที่พวกเขาสามารถเข้าถึงได้ สำหรับการเข้าถึงระยะยาวพวกเขาสามารถตั้งกฎที่ส่งต่อจดหมายทั้งหมดไปยังพวกเขา

— GAThrawn

mmmm ขอบคุณ ความปลอดภัยนั้นซับซ้อนเป็นบางครั้ง ถึงกระนั้นแถบตอนนี้ก็สูงขึ้นมากสำหรับพวกเขา มีเว็บไซต์เพียงไม่กี่แห่งที่มีการรักษาความปลอดภัยที่เหมาะสมจะส่งอีเมลรหัสผ่านจริงให้พวกเขา แต่พวกเขาจะรีเซ็ตที่จุดที่ฉันจะเห็นบางสิ่งบางอย่างเสีย นอกจากนี้ฉันสามารถดูกฎการส่งต่อ ฉันแค่ต้องการความปลอดภัยเพียงพอที่ผู้คนจะขโมยจากที่อื่นแทนการแฮ็คฉัน ฟังดูเหมือนว่าการใช้งานของฉันเพียงพอที่จะเป็นไปตามเกณฑ์ที่กำหนดแม้ว่าฉันจะผิด

— พอล

0

หลังจากตรวจสอบคำถามที่ฉันเชื่อมโยงด้านบนฉันพบหน้าต่อไปนี้ (แปลจากอรมัน) ซึ่งผู้เขียนระบุว่าปพลิเคชัน Android ที่พบบ่อยส่วนใหญ่ที่พวกเขาทดสอบไม่ได้ส่งรหัสผ่านใน cleartext: http://www.heise.de/ โมบิล / Artikel / Sicherheit ฟอน-Apps-fuer-Android ที่คาดไม่ถึง-iPhone-1103681.html? artikelseite = 6

ปรากฎว่าสิ่งนี้ไม่เป็นประโยชน์เหมือนคำตอบของ GAThrawn ด้านบน ฉันไม่เข้าใจการใช้คุกกี้อย่างเต็มรูปแบบ

— พอล
แหล่งที่มา