La maggior parte della sicurezza Wi-Fi è focalizzata sul blocco dell'accesso autorizzato alla rete che fornisce un punto di accesso wireless; ma considerando il buffet delle comunicazioni da app a cloud su un telefono cellulare, la connessione ai punti di accesso Wi-Fi verificati è tanto importante quanto la verifica del sito Web SSL / TLS.
In che modo vengono verificati i punti di accesso Wi-Fi? questa verifica è implicita nello standard Wi-Fi?
In parole semplici, a meno che tu non stia parlando di WPA2-Enterprise con EAP, non c'è alcuna verifica. Le reti Wi-Fi sono identificate dal SSID da solo, quindi se si rinomina la propria rete Wi-Fi domestica in "attwifi" e si rimuove la password, è probabile che alcuni dispositivi di sconosciuti si colleghino automaticamente ad esso. Questo sarebbe chiamato un punto di accesso canaglia.
Ovviamente, se la comunicazione da app a cloud è crittografata (con SSL / TLS), non importa se l'app invia informazioni attraverso un access point canaglia. È la comunicazione non crittografata che potrebbe rappresentare un rischio per la sicurezza.
Modifica:
Credo che gli sviluppi recenti abbiano potenzialmente reso possibile autenticare gli hotspot usando EAP-TLS, anche se non ho molta familiarità con il modo esatto in cui questa procedura funziona, quindi forse qualcun altro può elaborare. Ho trovato il seguente su Wikipedia:
On 22 August 2012 hostapd (and wpa_supplicant) added support in its Git repository for an UNAUTH-TLS vendor-specific EAP type (using the hostapd/wpa_supplicant project RFC 5612 Private Enterprise Number),[7] and on 25 February 2014 added support for the WFA-UNAUTH-TLS vendor-specific EAP type (using the Wi-Fi Alliance Private Enterprise Number),[8][9] which only do server authentication. This would allow for situations much like HTTPS, where a wireless hotspot allows free access and does not authenticate station clients but station clients wish to use encryption (IEEE 802.11i-2004 i.e. WPA2) and potentially authenticate the wireless hotspot. There have also been proposals to use IEEE 802.11u for access points to signal that they allow EAP-TLS using only server-side authentication, using the standard EAP-TLS IETF type instead of a vendor-specific EAP type.[10]
Non c'è assolutamente alcun modo di verificare un AP in circolazione. Come detto dall'utente54791, si vede solo il SSID e non ci sono protezioni incorporate nell'AP né smartphone che possano garantire che l'AP a cui si desidera connettersi sia effettivamente quello corretto. Questo è esattamente il motivo per cui non mi fido di nessun wifi, gratis o no. E in effetti, è il wifi "a pagamento" di cui dovresti davvero preoccuparti. Sei disposto a fornire i dati della tua carta di credito solo perché sembra ufficiale? Spero di no. Connettersi a un AP è semplicemente connettersi a Internet, così semplice! L'unica differenza è che ti fidi della connessione al tuo AP di casa, ma dopo questo, anche un attacco MITM può accadere alla tua connessione!
Leggi altre domande sui tag wifi