Sicherheitsrisiken von „Open Wi-Fi Networks“

9

Wie paranoid muss ich sein, damit mein Telefon eine Verbindung zu offenen / unverschlüsselten WLAN-Hotspots herstellen kann?

Es ist mir egal, ob andere Leute meine Daten sehen (E-Mail empfangen oder gesendet, Börsenkurse, was auch immer). Ich denke, alles, was mich wirklich interessiert, ist, ob sie meine Passwörter sehen (Google Mail, Facebook usw.).

Ich verstehe, dass ich wahrscheinlich keine Verbindung zu einem Finanzinstitut herstellen möchte und dass ich möglicherweise Man-in-the-Middle-Angriffen ausgesetzt bin, selbst wenn meine Passwörter kein Klartext sind.

Bitte beachten Sie, dass mir diese Frage und ihre Antwort bekannt sind und meine Frage nicht wirklich beantwortet wird, da es sich nur um die Daten handelt: Welche mit Android synchronisierten Daten werden verschlüsselt?

Wenn diese Frage bereits gestellt und beantwortet wurde, weisen Sie mich bitte darauf hin. Ich habe mit der integrierten Engine und Google gesucht und konnte sie nicht finden.

wi-fi security wifi-hotspot password Paul
quelle
1
Wenn Sie sich überhaupt Gedanken über Twitter machen, weiß ich, dass Touiteur die Option hat, immer eine SSL-Verbindung zu verwenden, und es ist sowieso einer der besten Kunden. (Vollständige Offenlegung: Ich bin vor kurzem zwischen Touiteur und Tweetcaster wegen kleiner Fehler in beiden gefloppt)
Matthew Read
Grundsätzlich sollte man ja paranoid sein. Ich wünschte wirklich, es gäbe eine einfache Möglichkeit, den gesamten Datenverkehr des Telefons zu verschlüsseln: android.stackexchange.com/q/2962/693
Endolith

Antworten:

7

Wenn Sie den Android-Webbrowser verwenden, um auf Websites zuzugreifen, bei denen Sie sich angemeldet haben und die beim Surfen keine SSL-verschlüsselte Seite verwenden, sollten Sie sehr paranoid sein.

Informieren Sie sich über das Firesheep- Add-On zu Firefox. Es nutzt die Tatsache, dass bei einer offenen, unverschlüsselten Wifi-Verbindung jeder den Netzwerkverkehr aller anderen Personen abhören kann. Es lauscht auf Cookies, die die Laptops und Telefone anderer Personen beim Surfen senden, greift auf diese Cookies zu und ermöglicht es Ihnen, sich als diese Person bei einer großen Liste von Websites anzumelden. Es müssen keine Anmeldenamen oder Kennwörter erfasst werden. Daher spielt es keine Rolle, ob Sie Ihr Kennwort nicht über eine offene Verbindung in etwas eingeben. Alles, was es braucht, ist Ihr Cookie, und dann kann es jemand anderen bei Facebook, GMail, Twitter, Amazon anmelden (er kann sogar One-Click-Bestellungen in Ihrem Namen aufgeben ) usw. BoingBoing hat etwas mehr auf was dies über Web-Sicherheit demonstriert.

Das Beängstigende ist, dass Firesheep nichts Magisches tut. Es macht einfach einen Prozess, den jeder machen kann (Abhören von offenem WiFi-Verkehr und Erkennen der interessanten Teile) und macht es mit einem Klick einfach.

GAThrawn
quelle
Sehr sehr interessant. Ich hatte von Firesheep gehört, wusste aber nicht, was es tat. Aber ich würde mir vorstellen, dass die Firesheep-Cookies normalerweise Sitzungscookies sind. Oder selbst wenn dies nicht der Fall ist, lassen die meisten Websites mit einem angemessenen Sicherheitsniveau gespeicherte Anmeldeinformationen regelmäßig ablaufen, beispielsweise in zwei Wochen. Ich mache mir keine Sorgen darüber, dass jemand in einem Café einen dummen Facebook-Status für mich veröffentlicht. Ich mache mir Sorgen um Hacker, die meine Konten verkaufen, was übertragbare Anmeldeinformationen mit einer gewissen Haltbarkeit erfordert. Oder fehlt mir etwas?
Paul
@Paul Sie haben Recht, dass dies dem Angreifer nur Zugriff auf Ihre Sitzung gewährt. Wenn Sie sich dessen bewusst sind und sich keine Sorgen über Facebook-Spoofing machen, ist dies in Ordnung. Web-Mail ist jedoch eine Sache, die Sie vermissen. Der vorübergehende Zugriff darauf ist für einen Angreifer unglaublich nützlich. Wenn Sie sich für Websites registrieren, werden Ihre Anmeldungen häufig per E-Mail an Sie gesendet. Dies ist in der E-Mail-Adresse einer anderen Person sehr einfach zu suchen. Oder ein Angreifer kann verschiedene Websites aufrufen und auf die Schaltfläche "Passwort vergessen" klicken, um das Passwort per E-Mail an das Konto zu senden, auf das er jetzt zugreifen kann. Für einen längerfristigen Zugriff können sie eine Regel einrichten, die alle E-Mails an sie weiterleitet.
GAThrawn
Mmmm. Vielen Dank. Sicherheit ist manchmal so komplex. Trotzdem ist die Messlatte für sie jetzt viel höher. Nur wenige Websites mit angemessener Sicherheit senden ihnen das tatsächliche Passwort per E-Mail. Stattdessen werden sie es zurücksetzen. An diesem Punkt werde ich sehen, dass etwas kaputt ist. Außerdem kann ich die Weiterleitungsregel sehen. Ich möchte nur sicher genug sein, dass Leute von irgendwo anders stehlen, anstatt mich zu hacken. Es klingt für mich so, als ob meine Verwendung ausreicht, um dieses Kriterium zu erfüllen, obwohl ich mich irren könnte.
Paul
0

Nachdem ich die oben verlinkte Frage untersucht hatte, fand ich die folgende Seite (übersetzt aus Germain), auf der die Autoren feststellten, dass die meisten von ihnen getesteten gängigen Android-Apps keine Passwörter im Klartext sendeten: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-für-Android-und-iPhone-1103681.html? artikelseite = 6

Es stellt sich heraus, dass dies nicht so hilfreich ist wie die Antwort von GAThrawn oben. Ich habe die vollständigen Auswirkungen von Cookies nicht verstanden.

Paul
quelle