Sé que conectarse a WiFi público conlleva riesgos. Sé que gran parte del riesgo tiene que ver con enviar datos a través de una conexión pública, lo que permite que sean interceptados.
Entonces, mi pregunta es, ¿la mayoría o todas las aplicaciones de Android usan SSL o algún otro protocolo seguro? ¿Se impone SSL mediante la política de Android o las limitaciones técnicas? ¿Tendría que preocuparme solo por los sitios web en mi navegador que usan http?
Si una aplicación usa una conexión segura, ¿significa eso que es significativamente más segura de usar en una red Wi-Fi pública? Sé que las personas que crean su propia red WiFi o engañan a otros siguen siendo un riesgo, pero ¿hay algo más?
No hay nada que obligue al uso de HTTPS para las aplicaciones de Android. Es posible que no tenga sentido transferir algunos datos a través de HTTPS, sino que depende de otros mecanismos (por ejemplo, verificaciones de firmas de clave GPG) para verificar los datos.
Su preocupación es muy real. La mayoría de los desarrolladores y usuarios no entienden los beneficios de usar SSL y otras formas de encriptación.
Puede garantizar el cifrado utilizando un túnel SSH , aunque solo garantizará que la transmisión se cifre hasta el punto de salida (que sería el servidor al que está conectado). Esto es bueno si simplemente está tratando de evitar que su ISP lo espíe.
Otra forma sería usar el Orbot de TorProject . Esto tiene la misma idea en mente, excepto que no se le pedirá que proporcione su propio servidor de tunelización y se beneficie de poder cambiar su punto de salida a voluntad. Orbot también usa múltiples proxies para ayudar a ocultar su identidad. Por supuesto, se le anima a ayudar a participar y proporcionar un relevo si es posible.
Por eso es importante (especialmente ahora) usar diferentes contraseñas para diferentes sitios, ya que algunos sitios/servicios no proporcionarán el mismo nivel de seguridad que otros.
SSL en un WiFi público, aunque es mucho más seguro que las transmisiones no encriptadas, no brinda una protección 100% a prueba de fallas. Desafortunadamente, las autoridades de certificación raíz son vulnerables a los ataques , y algunos (Trustwave) incluso han sido sorprendidos emitiendo certificados a empresas que sabían que no eran los propietarios del sitio web ESPECÍFICAMENTE para permitir que dichas empresas espíen conexiones cifradas . También es fácil eliminar SSL en aplicaciones que no requieren conexiones seguras.
Sin embargo, tiene algunas opciones que le proporcionarán una mayor seguridad.
Puede usar gpg para encriptar mensajes y datos usando la clave pública de su objetivo previsto.
El cifrado de un paso tiene el nivel más alto de seguridad para ciertas aplicaciones.
Su teléfono es inseguro. Depende de usted decidir qué comodidades necesita y cómo afectarán su seguridad. Hay muchas prácticas en las que puede volverse disciplinado que ayudarán a minimizar sus riesgos, pero al final del día es su responsabilidad salvaguardar lo que considera privado. Estaría más preocupado por los datos que cada aplicación que ha instalado intenta descargar a sus servidores. Lea los 'Permisos' de cada aplicación que instale antes de descargarla y decida si realmente necesita la mitad de lo que dice que hace.
maxpolk