Crittografia sul cellulare - mito?

8

Bene, circa sei mesi fa ho avuto il piacere di incontrare Harald Welte e quando ha parlato di m-banking (banca via smartphone) ha detto che la maggior parte delle persone è sicura mentre, in effetti, i provider di telefonia mobile rifiutano tutti i dati che sono illeggibili per loro (crittografati).

Tuttavia, da diverse altre fonti che ho trovato affidabili, incluso questo sito (ad esempio this topic ), ho avuto l'impressione che questo non sia completamente vero.

Quindi, la domanda sarebbe: l'invio di dati crittografati sull'infrastruttura mobile è meno sicuro, quindi l'invio su Internet "standard" (considerando tecnologie all'avanguardia in entrambi i settori e le pratiche più comunemente utilizzate)?

    
posta StupidOne 12.08.2011 - 19:42
fonte

3 risposte

10

L'affermazione che "i provider di telefonia mobile rifiutano tutti i dati crittografati" non è precisa. Per quanto ne so, i gestori di telefonia mobile non bloccano le connessioni SSL o le connessioni VPN. Forse c'era un errore di comunicazione o un fraintendimento su cosa intendesse esattamente Harald.

D'altra parte, ecco una cosa che è vera. Molti standard cellulari includono una sorta di crittografia a livello di collegamento per la voce o i dati mentre vengono trasmessi tramite il collegamento wireless tra il telefono e la stazione base. Tuttavia, sono stati riscontrati importanti difetti in questi standard di crittografia. Inoltre, molti operatori di telefonia mobile permetteranno ai governi di attingere a questi dati presso l'ufficio centrale, dopo averli decrittografati. Ci sono stati anche vettori che hanno disattivato la crittografia a livello di collegamento e i governi che hanno richiesto ai fornitori di dispositivi di trasporto / apparecchiature di disattivare la crittografia a livello di collegamento a livello locale (o durante l'esportazione di apparecchiature cellulari).

Tuttavia, se si dispone di uno smartphone, è comunque possibile utilizzare la propria crittografia end-to-end per proteggere le proprie connessioni - i gestori di telefonia mobile non lo bloccano. E se usi la tua crittografia end-to-end, o se usi app che implementano la propria crittografia end-to-end, quelle debolezze e backdoor dei link-layer non danneggeranno la tua sicurezza, perché hai eliminato la dipendenza sulla crittografia a livello di collegamento del gestore di telefonia mobile.

È vero che è probabile che l'invio di dati tramite telefono cellulare sia meno sicuro rispetto a una connessione cablata. Questo perché la maggior parte delle app telefoniche non utilizza la crittografia end-to-end e la maggior parte dei dati viene inviata senza crittografia end-to-end. (Ad esempio, la maggior parte dei siti Web utilizza connessioni HTTP non crittografate, piuttosto che una crittografia HTTPS end-to-end.) Pertanto, la maggior parte dei dati inviati dal telefono è sicura quanto la crittografia a livello di collegamento cellulare e non è estremamente sicura .

    
risposta data 12.08.2011 - 21:23
fonte
3

Il mio gestore di telefonia mobile, ad esempio, subisce il mio tethering una connessione VPN attraverso il mio telefono. I dati che vengono crittografati tramite SSL o VPN ... o qualsiasi altro metodo, devono passare attraverso.

Esistono determinati tipi di traffico identificato che i provider spesso bloccano (ad esempio, bit torrent), ma non vedo alcun particolare aumento del rischio tra i dati cellulari e il WiFi oltre alla portata / potenza. Tutto ciò significa che se avessi la tecnologia per manipolare i tuoi segnali via etere, potrei farlo da più lontano.

    
risposta data 12.08.2011 - 19:55
fonte
2

I rischi per la sicurezza nella rete normale e nella rete dati mobile sono quasi gli stessi e l'implementazione deve tenerne conto durante la progettazione della comunicazione. Nell'esempio dell'applicazione di mobile banking, direi che il mobile banking può essere reso più sicuro rispetto al banking basato sul browser a causa del seguente motivo:

  1. Se l'origine è un'applicazione, può essere gestita per gestire i certificati del server a modo tuo. Un browser può essere compromesso in una certa misura e gli utenti possono essere fuorviati a un sito di hacker. Nei dispositivi mobili puoi avere una rigorosa regola di accettazione del certificato durante l'esecuzione dell'handshake SSL. Le sessioni SSL se utilizzate con forza ottimale possiedono la stessa forza indipendentemente dal canale di comunicazione.
  2. Se c'è un modo per ospitare il tuo server mobile in congiunzione con la telco, allora potrebbe essere possibile rintracciare la fonte della richiesta come l'indirizzo IP e il numero di cellulare. Ciò potrebbe fornire eccellenti convalide come il controllo della mappatura dell'ID utente registrato e del numero di cellulare. Sì, ma questo approccio non è sempre fattibile poiché legare con più telco non è pratico ed economico.
  3. Gli attacchi come l'ascoltatore di tastiere sono relativamente meno nel dispositivo mobile a causa delle limitazioni della piattaforma di tali dispositivi. Sebbene gli attuali dispositivi mobili come IPhone e Androidi che sono sistemi operativi completi possano essere attaccati.
risposta data 22.06.2012 - 11:19
fonte

Leggi altre domande sui tag