Risques de sécurité des «réseaux Wi-Fi ouverts»

9

Dans quelle mesure dois-je être paranoïaque pour permettre à mon téléphone de se connecter à des points d'accès Wi-Fi ouverts / non chiffrés?

Peu m'importe si d'autres personnes voient mes données (e-mails reçus ou envoyés, cotations boursières, etc.). Je pense que tout ce qui m'importe, c'est de voir s'ils voient mes mots de passe (Gmail, Facebook, etc.).

Je comprends que je ne veux probablement pas établir de connexion avec une institution financière et que je suis potentiellement sujet à des attaques de l'homme du milieu même si mes mots de passe ne sont pas en texte clair.

Veuillez noter que je suis au courant de cette question et de sa réponse, et elle ne répond pas vraiment à ma question, car il s'agit uniquement des données: quelles données synchronisées Android sont cryptées?

Si cette question a déjà été posée et répondue, veuillez me la signaler. J'ai cherché avec le moteur intégré et Google et je ne l'ai pas trouvé.

— Paul
source

1

Si Twitter vous inquiète, je sais que Touiteur a la possibilité de toujours utiliser une connexion SSL, et c'est l'un des meilleurs clients de toute façon. (Divulgation complète: j'ai récemment floppé entre Touiteur et Tweetcaster en raison de petits bugs dans les deux)

— Matthew Read

Fondamentalement oui, vous devriez être paranoïaque. Je souhaite vraiment qu'il y ait un moyen simple de crypter tout le trafic du téléphone: android.stackexchange.com/q/2962/693

— endolith

7

Si vous utilisez le navigateur Web Android pour accéder à des sites auxquels vous vous êtes connecté et qui n'utilisent pas de page cryptée SSL pendant que vous les parcourez, alors vous devriez être très paranoïaque.

Prenez connaissance du module complémentaire Firesheep pour Firefox, il utilise le fait que sur une connexion Wifi ouverte et non cryptée, n'importe qui peut écouter le trafic réseau de toute autre personne connectée. Il écoute les cookies que les ordinateurs portables et les téléphones d'autres personnes envoient pendant leur navigation, saisit ces cookies et vous permet de les utiliser pour vous connecter à une vaste liste de sites Web en tant que cette personne. Il n'a pas besoin de capturer les noms de connexion ou les mots de passe, donc peu importe si vous faites attention à ne pas entrer votre mot de passe dans quoi que ce soit via une connexion ouverte. Tout ce dont il a besoin, c'est de votre cookie et il peut ensuite connecter quelqu'un d'autre à votre Facebook, ou GMail, ou Twitter, Amazon (ils peuvent même passer des commandes en un clic en votre nom), etc. BoingBoing a un peu plus sur ce que cela démontre sur la sécurité Web.

Ce qui est effrayant, c'est que Firesheep ne fait rien de magique. Cela rend juste un processus que n'importe qui pourrait faire (écouter le trafic WiFi ouvert et repérer les bits intéressants) et le rend facile en un seul clic.

— GAThrawn
source

Très très intéressant. J'avais entendu parler de Firesheep mais je ne savais pas ce qu'il faisait. Mais j'imagine que les cookies Firesheep sont généralement des cookies de session. Ou même s'ils ne le sont pas, la plupart des sites avec un niveau de sécurité raisonnable font expirer périodiquement les informations d'identification enregistrées, disons dans 2 semaines. Je ne m'inquiète pas vraiment que quelqu'un dans un café poste un statut Facebook stupide pour moi. Je suis préoccupé par les pirates qui vendent mes comptes, ce qui nécessite des informations d'identification transférables avec un certain niveau de durabilité. Ou est-ce que je manque quelque chose?

— Paul

@Paul Vous avez raison, cela ne donne à l'attaquant qu'un accès à votre session, si vous en êtes conscient et que vous ne vous inquiétez pas de l'usurpation d'identité sur Facebook, alors OK. Cependant, le courrier Web est une chose qui vous manque. Un accès temporaire à cela est incroyablement utile pour un attaquant. Lorsque vous vous inscrivez à des sites Web, vos identifiants vous sont souvent envoyés par e-mail, c'est très facile à rechercher dans l'e-mail de quelqu'un. Ou un attaquant peut se rendre sur différents sites et cliquer sur le bouton "Mot de passe oublié" pour envoyer le mot de passe par e-mail au compte auquel il peut désormais accéder. Pour un accès à plus long terme, ils peuvent mettre en place une règle qui leur transfère tout le courrier.

— GAThrawn

Mmmm. Merci. La sécurité est parfois si complexe. Pourtant, la barre est désormais beaucoup plus élevée pour eux. Peu de sites disposant d'une sécurité raisonnable leur enverront par e-mail le mot de passe réel; au lieu de cela, ils le réinitialiseront, à quel point je verrai que quelque chose est cassé. En outre, je peux voir la règle de transfert. Je veux juste être suffisamment en sécurité pour que les gens volent ailleurs au lieu de me pirater. Il me semble que mon utilisation est suffisante pour répondre à ce critère, bien que je puisse me tromper.

— Paul

0

Après avoir enquêté sur la question que j'ai liée ci-dessus, j'ai trouvé la page suivante (traduction de Germain), où les auteurs ont déterminé que la majorité des applications Android courantes qu'ils avaient testées n'envoyaient pas de mots de passe en texte clair: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Il s'avère que ce n'est pas aussi utile que la réponse de GAThrawn ci-dessus; Je n'ai pas compris toutes les ramifications des cookies.

— Paul
source