Android & Man In the Middle - come ha fatto Fox News a farlo?

Naviga le tue risposte
0

Un paio di anni fa, Fox News ha trasmesso una breve clip su come gli smartphone tracciavano e caricavano i dati di posizione / stato fisico dell'utente. La clip è disponibile gratuitamente su youtube e mostra come due smartphone Android monitoravano le coordinate dell'utente e gli stati fisici (ad esempio, seduti, camminando, guidando e altri disponibili tramite ActivityRecognitionClient di Google).

Quasi nessuna di queste osservazioni è sorprendente (Google è trasparente riguardo a tale tracciamento nei termini e nelle condizioni), tuttavia, ciò che sorprende è il dispositivo che è stato utilizzato per individuare i pacchetti contenenti tali dati. Il giornalista lo chiama "the man in the middle device" e sostiene che sia stato in grado di catturare i pacchetti contenenti dati decrittografati. La clip esatta con il dispositivo si trova al segno di 2 minuti

  1. Che cos'è questo dispositivo? (è qualcosa a cui il pubblico può accedere?)
  2. È effettivamente possibile ciò che hanno fatto? (Il traffico non è crittografato?)
  3. Se è possibile, come si farebbe questo esperimento nel 2018?
posta 372 09.09.2018 - 21:55
fonte

1 risposta

1

What is this device? (is it something that the general public can access?)

Questo non posso rispondere. Non sono sicuro del modello / marchio attuale, forse qualcun altro può rispondere a questa domanda specifica.

Is it actually possible what they did? (Isn't the traffic encrypted?)

Sì, è possibile farlo anche se il traffico è crittografato. In genere si installerà il certificato del proxy MITM sul dispositivo e quindi il dispositivo non avrà idea di cosa stia succedendo. Ad esempio, puoi eseguire questo tipo di MITM con Wifi Pineapple e Burp Suite purché installi il certificato Burp sul tuo dispositivo (che è semplice).

Puoi anche eseguire questo tipo di analisi (sniffando il traffico crittografato con TLS) utilizzando una varietà di altri proxy, ad esempio, Charles Proxy.

If it is possible, how would one do this experiment in 2018?

Questo può essere fatto nel 2018 usando uno dei metodi descritti sopra.

    
risposta data 09.09.2018 - 22:59
fonte

Leggi altre domande sui tag

Loopback con Suricata Come proteggere una chiave API dal lato client?