Risiko keamanan "Jaringan Wi-Fi Terbuka"

9

Bagaimana saya harus paranoid tentang mengizinkan ponsel saya terhubung ke hotspot WiFi terbuka / tidak terenkripsi?

Saya tidak terlalu peduli jika orang lain melihat data saya (email diterima atau dikirim, harga saham, apa pun). Saya pikir yang paling saya pedulikan adalah apakah mereka melihat kata sandi saya (Gmail, Facebook, dll).

Saya mengerti bahwa saya mungkin tidak ingin memulai koneksi ke lembaga keuangan, dan bahwa saya berpotensi terkena serangan orang-di-tengah walaupun kata sandi saya tidak jelas.

Harap perhatikan bahwa saya mengetahui pertanyaan ini dan jawabannya, dan itu tidak benar-benar menjawab pertanyaan saya karena hanya tentang data: Apa data disinkronkan Android dienkripsi?

Jika pertanyaan ini sudah ditanyakan dan dijawab, tolong tunjukkan saya untuk itu. Saya mencari dengan mesin built-in dan Google dan tidak dapat menemukannya.

wi-fi security wifi-hotspot password Paul
sumber
1
Jika Anda khawatir tentang twitter sama sekali, saya tahu bahwa Touiteur memiliki opsi untuk selalu menggunakan koneksi SSL, dan itu adalah salah satu klien terbaik. (Pengungkapan penuh: Saya baru-baru ini antara Touiteur dan Tweetcaster karena bug kecil di keduanya)
Matius Baca
Pada dasarnya ya, Anda harus paranoid. Saya benar-benar berharap ada cara sederhana untuk mengenkripsi semua lalu lintas telepon: android.stackexchange.com/q/2962/693
endolith

Jawaban:

7

Jika Anda menggunakan browser web Android untuk mengakses situs apa pun yang telah Anda masuki dan yang tidak menggunakan halaman terenkripsi SSL saat Anda menjelajahinya, maka Anda harusnya sangat paranoid.

Telah membaca tentang add-on Firesheep untuk Firefox, ia menggunakan fakta bahwa pada koneksi Wifi yang terbuka dan tidak terenkripsi, siapa pun dapat mendengarkan siapa pun yang lalu lintas jaringan terhubung. Ini mendengarkan cookie yang dikirim laptop dan ponsel orang lain saat mereka browsing, mengambil cookie itu dan memungkinkan Anda menggunakannya untuk masuk ke daftar situs web yang luas sebagai orang itu. Tidak perlu mengambil nama atau kata sandi masuk, jadi tidak masalah jika Anda berhati-hati untuk tidak memasukkan kata sandi ke sesuatu melalui koneksi terbuka. Semua yang dibutuhkan adalah cookie Anda dan kemudian dapat login orang lain ke Facebook Anda, atau GMail, atau Twitter, Amazon (mereka bahkan dapat menempatkan pesanan One-Click atas nama Anda) dll. BoingBoing memiliki sedikit lebih banyak pada apa ini menunjukkan tentang keamanan web.

Yang menakutkan adalah Firesheep tidak melakukan sihir apa pun. Itu hanya membuat proses yang bisa dilakukan siapa saja (mendengarkan lalu lintas WiFi terbuka, dan melihat bit-bit yang menarik) dan membuatnya mudah dengan sekali klik.

GATambar
sumber
Sangat sangat menarik. Saya pernah mendengar tentang Firesheep tetapi tidak tahu apa fungsinya. Tetapi saya akan membayangkan bahwa cookie Firesheep biasanya adalah cookie sesi. Atau bahkan jika tidak, sebagian besar situs dengan tingkat keamanan yang wajar membuat kredensial yang disimpan berakhir secara berkala, katakan dalam 2 minggu. Saya tidak terlalu peduli tentang seseorang di kedai kopi yang memposting status Facebook bodoh untuk saya. Saya khawatir tentang peretas yang menjual akun saya, yang membutuhkan kredensial yang dapat ditransfer dengan tingkat ketahanan tertentu. Atau apakah saya melewatkan sesuatu?
Paul
@ Paul Anda benar bahwa ini hanya memberikan penyerang akses ke sesi Anda, jika Anda mengetahui hal ini dan tidak khawatir tentang spoofing Facebook, maka OK. Namun web mail adalah satu hal yang Anda lewatkan. Akses sementara ke sana sangat berguna bagi penyerang. Ketika Anda mendaftar untuk situs web, login Anda sering diemailkan kepada Anda, itu sangat mudah dicari di email seseorang. Atau penyerang dapat pergi ke berbagai situs dan mengklik tombol "Lupa kata sandi" untuk mendapatkan kata sandi yang diemail ke akun yang sekarang dapat mereka akses. Untuk akses jangka panjang, mereka dapat membuat aturan yang meneruskan semua email ke mereka.
Diambil
Mmmm Terima kasih. Keamanan terkadang sangat rumit. Meski begitu, bilah sekarang jauh lebih tinggi bagi mereka. Beberapa situs dengan keamanan yang masuk akal akan mengirim email kepada mereka kata sandi yang sebenarnya; sebaliknya mereka akan mengatur ulang, pada titik mana saya akan melihat ada sesuatu yang rusak. Juga, saya bisa melihat aturan penerusan. Saya hanya ingin cukup aman sehingga orang mencuri dari tempat lain alih-alih meretas saya. Bagi saya sepertinya penggunaan saya sudah cukup untuk memenuhi kriteria itu, walaupun saya bisa saja salah.
Paul
0

Setelah menyelidiki pertanyaan yang saya tautkan di atas, saya menemukan halaman berikut (diterjemahkan dari Germain), di mana penulis menentukan bahwa sebagian besar aplikasi Android yang mereka uji tidak mengirim kata sandi dalam cleartext: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6

Ternyata ini tidak membantu seperti jawaban GAT yang ditarik di atas; Saya tidak mengerti konsekuensi penuh cookie.

Paul
sumber