Wenn ich in einem Hotspot kostenloses WLAN verwende, können Daten dann problemlos abgerufen werden?

21

Wenn ich mein mobiles Gerät in einem Wifi-Hotspot verwende, kann ich davon ausgehen, dass es die gleichen Risiken birgt wie die Verwendung eines Laptops, da Daten leicht beschnüffelt werden können und das mobile Gerät auch für Man-in-the-Middle-Angriffe empfänglich ist?

PeanutsMonkey
quelle
9
Es ist zu beachten, dass in einem offenen WiFi jeder Benutzer leicht alle Klartexte lesen kann, die andere Benutzer senden. In einem WPA-geschützten Netzwerk erhält jedoch jeder Computer, auch wenn der Zugriffsschlüssel "öffentlich" bekannt ist, einen eigenen privaten kryptografischen "Kanal", wodurch das Abhören von anderen angeschlossenen Computern erheblich schwieriger wird. Die einzige Möglichkeit, tatsächlich privat zu sein, besteht darin, nur Client-Server-gesicherte Verbindungen ( HTTPS ) zu verwenden und wirklich, wirklich sicher vorgespeicherte Remotezertifikate für bekannte Sites zu verwenden und mithilfe einer Methode Warnungen über Zertifikatänderungen abzurufen.
Ilari Kajaste
@Ilari Kajaste - Wie erhalte ich Zugriff auf gespeicherte Remote-Zertifikate für bekannte Sites oder kann ich sie auf das Mobilgerät herunterladen?
PeanutsMonkey
Persönlich halte ich gefälschtes Zertifikat-MITM-Szenario für selten genug, um sicher ignoriert zu werden. Für den Desktop gibt es eine Firefox-Erweiterung namens Certificate Patrol . Auf diese Weise können Sie zunächst alle Sites besuchen. Anschließend informiert Sie die Erweiterung, wenn sich die Zertifikate geändert haben. Allerdings weiß ich nicht , ob es etwas ähnliches für Android ist.
Ilari Kajaste
1
Keine eindeutige Antwort, aber es gibt eine App namens WifiKill, die den Datenverkehr auf Ihr Telefon umleiten kann, wenn es sich im selben Netzwerk befindet, und die Internetverbindung "abbricht". Ich denke, es wäre nicht schwieriger, die Daten nur zu "schnüffeln", wenn sie nicht verschlüsselt sind. forum.xda-developers.com/showthread.php?t=1282900
jadkik94
Siehe auch: Sicherheitsrisiken von offenem WLAN und Welche mit Android synchronisierten Daten sind verschlüsselt? beide haben viel mehr über die Sicherheitsrisiken von offenem WLAN
GAThrawn

Antworten:

21

Ja, Sie sind denselben Risiken ausgesetzt wie bei einem Laptop (oder einem anderen Gerät, das eine Verbindung zu einem drahtlosen Netzwerk herstellt). Um dies zu vermeiden, gelten die Standardsicherheitsverfahren: Verwenden Sie keine unverschlüsselten Verbindungen, denen Sie nicht vertrauen, und bevorzugen Sie immer HTTPS für das Surfen.

Renan
quelle
Würden die gleichen Sicherheitsgrundsätze gelten oder sind sie unterschiedlich?
PeanutsMonkey
3
Dieselben Prinzipien können auf alle Geräte angewendet werden, die eine drahtlose Verbindung herstellen: Verwenden Sie nur HTTPS-Webseiten, verwenden Sie keine nicht vertrauenswürdigen drahtlosen Netzwerke usw.
Renan,
6

Ja. Es gibt zwei verschiedene Probleme:

A. Ein Angreifer, der den gesamten Datenverkehr durch Arp-Spoofing schnüffelt und / oder umleitet.

Zwei verschiedene Android-Anwendungen tun dies bereits (natürlich vom Markt verbannt). Bitte beachten Sie, dass das Installieren und Testen in Ihrem Land illegal sein kann!

  • FaceNiff ermöglicht (weiß nicht, ob es noch zutrifft), eingeloggte Anmeldeinformationen einzusehen und Facebook-Konten und ähnliches zu übernehmen.
  • Droidsheep macht dasselbe

B. Ein Angreifer, der sich als Hotspot ausgibt .

Das ernstere, nehme ich an. Sie können Ihr Telefon jederzeit entführen, wenn Sie zuvor eine Verbindung zu einem bekannten Hot-Spot-Anbieter hergestellt haben.

Ihr Android-Telefon merkt sich bekannte Hotspots normalerweise nur über die ESSID des Zugriffspunkts (seinen Namen) und versucht, die Verbindung erneut herzustellen, wenn eine solche ESSID zur Vereinfachung erneut angezeigt wird. Auf diese Weise kann ein Angreifer eine so bekannte ESSID einrichten, und Ihr Telefon stellt dann problemlos eine Verbindung her. Da kein Arp-Spoofing beteiligt ist, können Sie dieses Verhalten nicht leicht erkennen.

Probieren Sie es einfach selbst aus, richten Sie Ihr Telefon mit einer bekannten Hotspot-ESSID als unverschlüsseltes Hotspot-Gerät ein und sehen Sie, wie viele Verbindungen Sie in kürzester Zeit erhalten Verbindung entweder.

ce4
quelle