Sicherheitsrisiken von "Open Wi-Fi Networks"

Wie paranoid muss ich sein, wenn ich meinem Telefon erlaube, sich mit offenen/unverschlüsselten WLAN-Hotspots zu verbinden?

Es ist mir eigentlich egal, ob andere Leute meine Daten sehen (empfangene oder gesendete E-Mails, Aktienkurse, was auch immer). Ich denke, alles, was mich wirklich interessiert, ist, ob sie meine Passwörter sehen (Gmail, Facebook usw.).

Mir ist bewusst, dass ich wahrscheinlich keine Verbindung zu einem Finanzinstitut herstellen möchte und dass ich möglicherweise Man-in-the-Middle-Angriffen ausgesetzt bin, auch wenn meine Passwörter nicht im Klartext sind.

Bitte beachten Sie, dass mir diese Frage und ihre Antwort bekannt sind und meine Frage nicht wirklich beantwortet wird, da es nur um die Daten geht: Welche von Android synchronisierten Daten werden verschlüsselt?

Wenn diese Frage bereits gestellt und beantwortet wurde, verweise mich bitte darauf. Ich habe mit der integrierten Engine und Google gesucht und konnte es nicht finden.

Wenn Sie sich überhaupt Sorgen um Twitter machen, weiß ich, dass Touiteur eine Option hat, immer eine SSL-Verbindung zu verwenden, und es ist sowieso einer der besten Clients. (Vollständige Offenlegung: Ich bin kürzlich aufgrund kleiner Fehler in beiden zwischen Touiteur und Tweetcaster gefloppt)
Grundsätzlich ja, man sollte paranoid sein. Ich wünschte wirklich, es gäbe eine einfache Möglichkeit, den gesamten Datenverkehr des Telefons zu verschlüsseln: android.stackexchange.com/q/2962/693

Antworten (2)

Wenn Sie den Android-Webbrowser verwenden, um auf Websites zuzugreifen, bei denen Sie sich angemeldet haben und die keine SSL-verschlüsselte Seite verwenden, während Sie sie durchsuchen, sollten Sie sehr paranoid sein.

Informieren Sie sich über das Firesheep -Add-on für Firefox, es nutzt die Tatsache, dass bei einer offenen, unverschlüsselten WLAN-Verbindung jeder den Netzwerkverkehr von jedem anderen, der verbunden ist, abhören kann. Es lauscht auf Cookies, die die Laptops und Telefone anderer Leute senden, während sie surfen, schnappt sich diese Cookies und lässt Sie sie verwenden, um sich als diese Person bei einer riesigen Liste von Websites anzumelden. Es muss keine Anmeldenamen oder Kennwörter erfassen, daher spielt es keine Rolle, ob Sie darauf achten, Ihr Kennwort nicht über eine offene Verbindung einzugeben. Alles, was es braucht, ist Ihr Cookie und dann kann es jemand anderen bei Ihrem Facebook oder GMail oder Twitter, Amazon (sie können sogar One-Click-Bestellungen in Ihrem Namen aufgeben) usw. anmelden. BoingBoing hat etwas mehrwas dies über die Websicherheit zeigt.

Das Beängstigende ist, dass Firesheep nichts magisch macht. Es macht einfach einen Prozess, den jeder tun könnte (offenen WLAN-Verkehr abhören und die interessanten Bits erkennen) und macht es mit einem Klick einfach.

Sehr sehr interessant. Ich hatte von Firesheep gehört, wusste aber nicht, was es tat. Aber ich würde mir vorstellen, dass die Firesheep-Cookies typischerweise Session-Cookies sind. Oder selbst wenn dies nicht der Fall ist, lassen die meisten Websites mit einem angemessenen Sicherheitsniveau gespeicherte Anmeldeinformationen regelmäßig ablaufen, sagen wir in 2 Wochen. Ich bin nicht wirklich besorgt darüber, dass jemand in einem Café einen dummen Facebook-Status für mich postet. Ich mache mir Sorgen über Hacker, die meine Konten verkaufen, was übertragbare Anmeldeinformationen mit einem gewissen Maß an Haltbarkeit erfordert. Oder übersehe ich etwas?
@Paul Sie haben Recht, dass dies dem Angreifer nur Zugriff auf Ihre Sitzung gibt, wenn Sie sich dessen bewusst sind und sich keine Sorgen über Facebook-Spoofing machen, dann OK. Webmail ist jedoch eine Sache, die Sie vermissen. Ein temporärer Zugriff darauf ist für einen Angreifer unglaublich nützlich. Wenn Sie sich für Websites registrieren, werden Ihnen Ihre Logins oft per E-Mail zugeschickt, das ist sehr einfach, in der E-Mail einer anderen Person danach zu suchen. Oder ein Angreifer kann zu verschiedenen Websites gehen und auf die Schaltfläche „Passwort vergessen“ klicken, um das Passwort per E-Mail an das Konto zu erhalten, auf das er jetzt zugreifen kann. Für längerfristigen Zugriff können sie eine Regel einrichten, die alle E-Mails an sie weiterleitet.
Mmm. Vielen Dank. Sicherheit ist manchmal so komplex. Trotzdem liegt die Messlatte für sie jetzt viel höher. Nur wenige Websites mit angemessener Sicherheit werden ihnen das tatsächliche Passwort per E-Mail zusenden. Stattdessen werden sie es zurücksetzen, und an diesem Punkt werde ich sehen, dass etwas kaputt ist. Außerdem kann ich die Weiterleitungsregel sehen. Ich möchte nur sicher genug sein, dass Leute von woanders stehlen, anstatt mich zu hacken. Es klingt für mich so, als ob meine Nutzung ausreicht, um dieses Kriterium zu erfüllen, obwohl ich mich irren könnte.

Nachdem ich die oben verlinkte Frage untersucht hatte, fand ich die folgende Seite (Übersetzung aus dem Deutschen), auf der die Autoren feststellten, dass die Mehrheit der von ihnen getesteten gängigen Android-Apps Passwörter nicht im Klartext sendeten: http://www.heise.de/ mobil/artikel/Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html?artikelseite=6

Es stellt sich heraus, dass dies nicht so hilfreich ist wie die Antwort von GAThrawn oben. Ich habe die vollständigen Auswirkungen von Cookies nicht verstanden.

Sicherheitsrisiken von "Open Wi-Fi Networks"
AntwortenHierDatenschutz-Bestimmungen1y, 0v