Considera il seguente scenario.
- Eve crea un punto di accesso in un luogo pubblico.
- Alice si connette all'AP tramite cellulare e inizia a navigare sul Web.
- Eve reindirizza Alice a una pagina di registrazione e suggerisce ad Alice di leggere e accettare termini e condizioni bla-bla e installare un certificato SSL .
- Per quanto Alice sia un normale utente mobile, installa senza problemi il certificato (fa semplicemente clic sul pulsante OK perché il messaggio di registrazione contiene più di 140 caratteri). La cosa più importante è che è una procedura in un'unica fase sulla maggior parte dei dispositivi mobili .
- Ora Eve può eseguire un attacco MITM. Può dirottare il traffico HTTP (S).
Considerati uno sviluppatore di applicazioni mobili di Bob. Come possiamo prevenire l'attacco descritto? Possiamo farlo anche noi? Sentiti libero di suggerire la soluzione per qualsiasi sistema operativo mobile.