Rifiuta qualsiasi certificato SSL personalizzato in un'applicazione mobile

6

Considera il seguente scenario.

  1. Eve crea un punto di accesso in un luogo pubblico.
  2. Alice si connette all'AP tramite cellulare e inizia a navigare sul Web.
  3. Eve reindirizza Alice a una pagina di registrazione e suggerisce ad Alice di leggere e accettare termini e condizioni bla-bla e installare un certificato SSL .
  4. Per quanto Alice sia un normale utente mobile, installa senza problemi il certificato (fa semplicemente clic sul pulsante OK perché il messaggio di registrazione contiene più di 140 caratteri). La cosa più importante è che è una procedura in un'unica fase sulla maggior parte dei dispositivi mobili .
  5. Ora Eve può eseguire un attacco MITM. Può dirottare il traffico HTTP (S).

Considerati uno sviluppatore di applicazioni mobili di Bob. Come possiamo prevenire l'attacco descritto? Possiamo farlo anche noi? Sentiti libero di suggerire la soluzione per qualsiasi sistema operativo mobile.

    
posta newbie 29.04.2014 - 02:54
fonte

1 risposta

6

Se sei lo sviluppatore di applicazioni il meglio che puoi fare è appuntare il certificato, nel senso che se vedi un certificato diverso da uno specifico che conosci e di cui ti fidi (ad esempio confrontando l'identificazione personale o la chiave pubblica), rilascia la connessione e esci da lì.

Altrimenti ti stai affidando a un sistema che hai dimostrato di essere infranto, come nel tuo esempio. Tuttavia, ci sono alcuni problemi pratici nell'attacco, in quanto l'installazione di un certificato di root è un po 'più complicato di un singolo clic e, si spera, gli utenti non lo siano.

    
risposta data 29.04.2014 - 03:08
fonte

Leggi altre domande sui tag