I dati del telefono cellulare possono essere intercettati o compromessi?

6

Oggi stavo leggendo questa domanda: KRACK vuol dire che i wifi cafè non saranno mai più al sicuro? e pensato a me stesso .. OK userò semplicemente i dati mobili invece dei public pubblici.

Ma poi la mia prossima domanda è stata: come posso garantire che i miei dati mobili non possano essere intercettati.

Facendo un po 'di ricerca su internet ho trovato articoli come questo: HACKER SPOOFS CELL PHONE TORRE PER INTERCETTARE LE CHIAMATE

che dice cose come:

The device tricks the phones into disabling encryption and records call details and content before they're routed on their proper way through voice-over-IP.

Ma questo parla di chiamate in particolare.

Lo stesso può essere fatto per i dati?

vale a dire. Messaggi HTTPS e E2EE?

per es.

Visito link sul mio cellulare tramite dati mobili e digito il mio nome utente e password, qualcuno può intercettare e leggere la mia password?

    
posta user1 25.10.2017 - 11:05
fonte

2 risposte

5

Prima di tutto KRACK è solo al livello WiFi. Un utente malintenzionato non ha più accesso ai dati di quanto non farebbe l'operatore del punto di accesso wireless. Probabilmente non dovresti fidarti dei caffè casuali più dello sconosciuto medio. HTTPS anche su un router compromesso dovrebbe essere ancora sicuro.

Ora, su una connessione mobile. La risposta breve è sì - i dati che non vengono inviati crittografati a un livello più alto (cioè https) possono essere letti.

  • L'opzione facile per una stazione di base falsa è forzare il tuo telefono a 2G che non è crittografato.
  • La crittografia 3G ha più punti deboli noti.
  • La crittografia 4G dovrebbe essere OK. Ma è solo dal telefono alla base. Un vettore malintenzionato (o se stessi o consentendo l'accesso ad altri attori) o qualcuno che riesce a leggere i dati dalla rete backbone del vettore può ottenere quanto con KRACK.

I visit https://www.WebsiteThatRequiresaPassword.com on my mobile via mobile data and type my username and password in, can someone intercept and read my password?

Fintanto che il nome utente e la password vengono inviati su HTTPS (il fatto che il caricamento iniziale della pagina era su HTTPS non lo garantisce, anche se alcuni browser ti avviserebbero in caso contrario) e ti fidi di tutte le CA per le quali il tuo dispositivo ha memorizzato i certificati radice quindi no non possono intercettarli. Il fatto che sia stato inviato tramite dati mobili è irrilevante.

    
risposta data 25.10.2017 - 12:34
fonte
3

La domanda più grande è: quanto sei paranoico? Ci scherziamo dicendo che "siamo paranoici, ma siamo abbastanza paranoici?"

Qualsiasi cosa può essere intercettata e incrinata dato abbastanza risorse. I Wi-Fi non sono mai stati così sicuri - guarda su "youtube airsnort wifi hotspot" e ci sono oltre 2 milioni di risultati. Sappiamo anche che vari dipartimenti di polizia stanno usando Stinger per spazzare via le comunicazioni wifi / cellulari (non entrerò in una discussione sulla legalità di questo qui ...)

HTTPS è un mezzo di comunicazione tra il tuo browser e l'host. Quel traffico passa attraverso qualcosa, nel senso che può essere intercettato. A seconda che venga utilizzato SSL o TLS, esiste un diverso grado di difficoltà per compromettere tale traffico. Quindi può essere intercettato, ma difficile da leggere.

Come garantisci che non verrà intercettato? Consegnalo manualmente al suo destinatario Altrimenti non c'è garanzia. Le lettere possono essere intercettate, aperte e ri-sigillate. Il traffico di rete può essere, e regolarmente, intercettato. Qualcuno può intercettare la password? Sì. Possono leggerlo? Dipende dal sito Web e dal livello di crittografia utilizzato. La maggior parte dei luoghi utilizza un certo livello di crittografia, ma mi sorprende che alcuni trasmettano ancora password in testo non crittografato.

Ora, prima di allontanarti sentendo "Sono fregato", tieni presente che alcune buone pratiche possono aiutarti. Usa il buon senso quando in pubblico. Non fidarti degli hotspot Wi-Fi. Collegati solo a servizi bancari, ecc. Quando sei a casa o in un posto di cui sai di poterti fidare. Utilizzare una password diversa per il settore bancario di quanto non faccia per qualsiasi altra cosa e utilizzarla solo per un sito Web bancario. Fallo e dovresti essere OK

    
risposta data 26.10.2017 - 19:38
fonte

Leggi altre domande sui tag