Le mie app Android utilizzano TLS o altra crittografia quando sono connesse al Wi-Fi pubblico? Come posso dire?

13

Ho un telefono Android. Quando è connesso solo alla rete 3G del mio gestore, immagino che sia ragionevolmente sicuro contro le intercettazioni (anche se non è invulnerabile). Tuttavia, a volte a causa della mancanza di ricezione o di altri motivi, posso connettermi a una rete Wi-Fi pubblica e utilizzare il mio telefono in questo modo.

Mi preoccupa comunque. Se utilizzo la mia app GMail o un'app per le banche o anche qualcosa di meno importante come Twitter, i miei dati vengono inviati in modo sicuro? O è probabile che qualcun altro possa leggere i miei messaggi inviati in questo modo?

Se carico GMail o Twitter in un browser, posso vedere se il protocollo nell'URL è https e se i certificati sembrano validi. La maggior parte dei browser ha un'icona prominente per farti sapere quando sono in modalità protetta e tutto viene controllato. Le app per Android che ho visto non hanno nulla di simile, quindi per quanto posso dire non ho nient'altro che una cieca speranza che gli sviluppatori abbiano assicurato il traffico nelle loro app.

Le app Android hanno inviato le mie informazioni personali tramite Wi-Fi in modo sicuro? Come posso dire? E ci sono standard o funzionalità del sistema operativo che Google può utilizzare per far rispettare questo? O è ogni sviluppatore per se stesso?

    
posta Joshua Carmody 30.12.2011 - 20:16
fonte

3 risposte

11

La crittografia e l'autenticazione inerenti alla rete 3G ti proteggono solo all'interno dell'infrastruttura del provider 3G, ma non oltre. Se si effettua una semplice connessione HTTP non crittografata con il telefono, i dati non sono protetti una volta se escono dalla rete del provider e si immettono su Internet in modo ampio, dove le bestie selvagge si spostano. Se un'app invia dati privati non protetti, si verifica un problema, indipendentemente dal fatto che l'invio vada prima tramite WiFi o tramite 3G. Il WiFi rende solo il problema più localmente ovvio .

Per avere un'idea di come vengono gestite le cose sul tuo telefono, puoi eseguire una applicazione di acquisizione pacchetti , proprio come potresti fare con un PC. Probabilmente avrà bisogno del telefono per essere radicato. Inoltre, anche se l'acquisizione mostra una sessione SSL / TLS, non si sa ancora in che modo il client autentica il certificato del server (in particolare, quali certificati radice sono accettati dall'applicazione e in che modo corrisponde al certificato con il nome del server previsto) , quindi non puoi avere la certezza che un'applicazione casuale funzioni correttamente.

Non c'è nulla nel sistema operativo che imponga l'uso di TLS; ma almeno un client TLS ragionevolmente buono è fornito, e la maggior parte delle app che vogliono per fare un po 'di SSL / TLS verrà effettivamente utilizzato HTTPS, per il quale l'implementazione di default fa le cose in modo ragionevole (proprio come un browser Web). Quindi possiamo dire che uno sviluppatore di app che usa SSL / TLS ma che fa un errore deve essere stato straordinariamente creativo nella sua sciatteria.

    
risposta data 30.12.2011 - 20:42
fonte
1

L'app GMail, la tua app per il banking o "qualcosa di meno importante come Twitter" non hanno alcun obbligo di inviare i tuoi dati in modo sicuro tramite la connessione WiFi (o qualsiasi connessione cablata). Devi esaminare ogni applicazione per essere in grado di stabilire se i tuoi dati vengono inviati in modo sicuro o meno.

L'utilizzo del WiFi "pubblico" ti espone ad alcuni attacchi di quanto non sia possibile usando una connessione cablata, perché non hai modo di essere certo che il punto di accesso sia "amichevole" per te, o che i tuoi pari siano sullo stesso hotspot sono allo stesso modo "simpatici".

È possibile superare i problemi di sicurezza degli hash MD5 HTTPS, TLS e anche (gasp). Non esiste una suite di protocollo / comunicazioni di rete "perfettamente sicura". Esistono solo "più sicuri" e "meno sicuri". Tuttavia, ci sono cose che puoi aggiungere come protezione extra mentre usi questi hotspot pubblici.

Cose come VPN, tunnel SSL, navigazione privata, TOR, privoxy, "richiedono le impostazioni HTTPS" e molte altre possono essere utilizzate per migliorare la sicurezza delle tue comunicazioni su questi hotspot pubblici.

Android ti consente di configurare una VPN piuttosto facilmente. Dovresti prendere in considerazione la possibilità di eseguire sempre il VPNing dagli hotspot pubblici al tuo server di casa e quindi di indirizzare il traffico verso Internet da lì.

L'uso di una VPN è un buon modo per migliorare la sicurezza di un hotspot WiFi sconosciuto / non attendibile.

Per rispondere alla tua domanda finale, è davvero "ogni sviluppatore per se stesso nella biosfera di Android!"

    
risposta data 31.12.2011 - 03:13
fonte
0

A quanto pare puoi anche aggiungere il tuo certificato autofirmato al cert store e man-in-the-middle le connessioni delle tue app tramite la connessione wifi locale.

Vorrei anche provare ssl strip sulle applicazioni perché alcune applicazioni possono utilizzare http non correttamente quando https non funziona.

Guarda i seguenti podcast per maggiori dettagli

risposta data 30.12.2011 - 21:40
fonte

Leggi altre domande sui tag