Le mie app Android utilizzano TLS o altra crittografia quando sono connesse al Wi-Fi pubblico? Come posso dire?

La crittografia e l'autenticazione inerenti alla rete 3G ti proteggono solo all'interno dell'infrastruttura del provider 3G, ma non oltre. Se si effettua una semplice connessione HTTP non crittografata con il telefono, i dati non sono protetti una volta se escono dalla rete del provider e si immettono su Internet in modo ampio, dove le bestie selvagge si spostano. Se un'app invia dati privati non protetti, si verifica un problema, indipendentemente dal fatto che l'invio vada prima tramite WiFi o tramite 3G. Il WiFi rende solo il problema più localmente ovvio .

Per avere un'idea di come vengono gestite le cose sul tuo telefono, puoi eseguire una applicazione di acquisizione pacchetti , proprio come potresti fare con un PC. Probabilmente avrà bisogno del telefono per essere radicato. Inoltre, anche se l'acquisizione mostra una sessione SSL / TLS, non si sa ancora in che modo il client autentica il certificato del server (in particolare, quali certificati radice sono accettati dall'applicazione e in che modo corrisponde al certificato con il nome del server previsto) , quindi non puoi avere la certezza che un'applicazione casuale funzioni correttamente.

Non c'è nulla nel sistema operativo che imponga l'uso di TLS; ma almeno un client TLS ragionevolmente buono è fornito, e la maggior parte delle app che vogliono per fare un po 'di SSL / TLS verrà effettivamente utilizzato HTTPS, per il quale l'implementazione di default fa le cose in modo ragionevole (proprio come un browser Web). Quindi possiamo dire che uno sviluppatore di app che usa SSL / TLS ma che fa un errore deve essere stato straordinariamente creativo nella sua sciatteria.

L'app GMail, la tua app per il banking o "qualcosa di meno importante come Twitter" non hanno alcun obbligo di inviare i tuoi dati in modo sicuro tramite la connessione WiFi (o qualsiasi connessione cablata). Devi esaminare ogni applicazione per essere in grado di stabilire se i tuoi dati vengono inviati in modo sicuro o meno.

L'utilizzo del WiFi "pubblico" ti espone ad alcuni attacchi di quanto non sia possibile usando una connessione cablata, perché non hai modo di essere certo che il punto di accesso sia "amichevole" per te, o che i tuoi pari siano sullo stesso hotspot sono allo stesso modo "simpatici".

È possibile superare i problemi di sicurezza degli hash MD5 HTTPS, TLS e anche (gasp). Non esiste una suite di protocollo / comunicazioni di rete "perfettamente sicura". Esistono solo "più sicuri" e "meno sicuri". Tuttavia, ci sono cose che puoi aggiungere come protezione extra mentre usi questi hotspot pubblici.

Cose come VPN, tunnel SSL, navigazione privata, TOR, privoxy, "richiedono le impostazioni HTTPS" e molte altre possono essere utilizzate per migliorare la sicurezza delle tue comunicazioni su questi hotspot pubblici.

Android ti consente di configurare una VPN piuttosto facilmente. Dovresti prendere in considerazione la possibilità di eseguire sempre il VPNing dagli hotspot pubblici al tuo server di casa e quindi di indirizzare il traffico verso Internet da lì.

L'uso di una VPN è un buon modo per migliorare la sicurezza di un hotspot WiFi sconosciuto / non attendibile.

Per rispondere alla tua domanda finale, è davvero "ogni sviluppatore per se stesso nella biosfera di Android!"

A quanto pare puoi anche aggiungere il tuo certificato autofirmato al cert store e man-in-the-middle le connessioni delle tue app tramite la connessione wifi locale.

Vorrei anche provare ssl strip sulle applicazioni perché alcune applicazioni possono utilizzare http non correttamente quando https non funziona.

Guarda i seguenti podcast per maggiori dettagli

• Trascrizione OWASP Podcast 86
• OWASP Podcast 89, senza una trascrizione