Applicazioni del telefono con SSL / TLS abilitato dietro le quinte?

Naviga le tue risposte
3

Nota: questa domanda è leggermente basata sul fatto che io sono un cappello sventato di latta con i problemi che sono sorti da perdite, documenti e dubbi sull'affidabilità grazie a Edward Snowden.

Grazie all'aggiunta del mio servizio VPN al mio cellulare per migliorare la sicurezza e interrompere "l'intercettazione" di Verizon sui miei dati e utilizzo, sto mettendo in dubbio la fiducia con Twitter, Facebook, Google e tutte le principali applicazioni di social networking e come stanno mantenendo i nostri dati al sicuro mentre accediamo alle loro applicazioni.

Non ci sono avvisi, informazioni o indicazioni che stiano utilizzando SSL / TLS nelle loro applicazioni per Android, Windows Phone e iPhone.

Facebook, Twitter, Google Plus e altre importanti applicazioni hanno abilitato SSL / TLS e sono codificati nelle loro applicazioni per telefoni / tablet dietro le quinte?

    
posta Traven 16.06.2014 - 21:00
fonte

2 risposte

3

La risposta breve alla tua domanda è , la maggior parte delle app di social networking principali (e ufficiali) utilizzano connessioni crittografate. Tuttavia, se sei interessato, ci sono modi per scoprirlo da soli impostando un server proxy che ti consenta di inoltrare il traffico attraverso quel sistema e quindi analizzare i dati. Esistono tuttavia alcuni strumenti per fare ciò:

1 - C'è una estensione Androguard chiamato MalloDroid che

facilitates static code analysis of Android applications.

I dettagli specifici sono i seguenti:

  • Analizza le chiamate API di rete ed estrai URL HTTP (S) validi da le app decompilate
  • Verifica la validità dei certificati SSL di tutti gli HTTPS estratti padroni di casa.
  • Identifica le app contenenti chiamate API che differiscono dal valore predefinito di Android L'utilizzo di SSL, ad esempio, contiene gestori di trust non predefiniti, socket SSL fabbriche o verificatori di nomi host con verifica permissiva strategie.

2 - ZAP di Zscaler è un

web-based tool designed to streamline the capture and analysis of HTTP(S) traffic from mobile applications. ZAP is capable of analyzing traffic from both iOS and Android applications.

ZAP verifica quanto segue:

  • Autenticazione: Nome utente / password inviati in testo chiaro o deboli metodi di codifica.
  • Dispersione di metadati del dispositivo: dati che possono identificare un singolo dispositivo, come l'identificatore univoco del dispositivo (UDID).
  • Perdita di informazioni personali identificabili: dati che possono identificare un singolo utente, ad esempio un indirizzo email, un numero di telefono o un indirizzo postale indirizzo.
  • Contenuto esposto: comunicazione con terze parti come la pubblicità o siti di analisi.

Fonti:

http://www.techrepublic.com/blog/it-security/android-apps-and-ssl-wheres-the-padlock/

http://zap.zscaler.com/about.php

https://code.google.com/p/androguard/#Description

    
risposta data 16.06.2014 - 21:20
fonte
1

Mi sono posto questa domanda due anni fa e ho deciso di vedere da solo. Ho impostato un laboratorio con uno scenario di attacco MITM e testato un paio di applicazioni tra cui Twitter e Whatsapp.

  • La risposta alla tua domanda: la maggior parte di queste app utilizza connessioni crittografate per trasferire i dati dal tuo telefono ai loro server. Tuttavia, ricorda che una volta che i tuoi dati li raggiungono, spetta a loro salvarli nel testo in chiaro o crittografarli e quindi memorizzarli o semplicemente cancellarli!
  • Un'altra cosa da notare è il fatto che queste applicazioni potrebbero cadere negli attacchi SSL-MITM in cui un utente malintenzionato genera il proprio certificato e lo invia all'app che sostiene di essere il server. A meno che l'app non sia programmata per rifiutare tali falsi certificati, chiunque può ancora annusare i tuoi dati ANCHE se sono crittografati. (Posso confermare che Twitter non è vulnerabile a questo il giorno in cui ho provato)
  • Questo vale per altre app del sistema operativo come Contatti, Servizio iCloud, Note, ecc.
risposta data 16.06.2014 - 21:13
fonte

Leggi altre domande sui tag

che cosa è un'impronta digitale del server in ssh? come eseguire la scansione di un'applicazione Web che utilizza Captcha