Riesgos de seguridad de las "redes Wi-Fi abiertas"

¿Qué tan paranoico debo ser acerca de permitir que mi teléfono se conecte a puntos de acceso WiFi abiertos/no encriptados?

Realmente no me importa si otras personas ven mis datos (correo electrónico recibido o enviado, cotizaciones de acciones, lo que sea). Creo que lo único que realmente me importa es si ven mis contraseñas (Gmail, Facebook, etc.).

Entiendo que probablemente no quiera iniciar una conexión con una institución financiera y que estoy potencialmente sujeto a ataques de intermediarios, incluso si mis contraseñas no son de texto claro.

Tenga en cuenta que estoy al tanto de esta pregunta y su respuesta, y en realidad no responde a mi pregunta porque se trata solo de los datos: ¿Qué datos sincronizados con Android están encriptados?

Si esta pregunta ya ha sido formulada y respondida, indíquemela. Busqué con el motor incorporado y Google y no pude encontrarlo.

Si está preocupado por Twitter, sé que Touiteur tiene la opción de usar siempre una conexión SSL y, de todos modos, es uno de los mejores clientes. (Divulgación completa: recientemente he cambiado entre Touiteur y Tweetcaster debido a pequeños errores en ambos)
Básicamente sí, deberías estar paranoico. Realmente desearía que hubiera una forma simple de encriptar todo el tráfico del teléfono: android.stackexchange.com/q/2962/693

Respuestas (2)

Si usa el navegador web de Android para acceder a cualquier sitio en el que haya iniciado sesión y que no use una página encriptada SSL mientras los navega, entonces debería estar muy paranoico.

Lea sobre el complemento Firesheep para Firefox, utiliza el hecho de que en una conexión Wi-Fi abierta y sin cifrar, cualquiera puede escuchar el tráfico de red de cualquier otra persona que esté conectada. Escucha las cookies que envían las computadoras portátiles y los teléfonos de otras personas mientras navegan, toma esas cookies y le permite usarlas para iniciar sesión en una amplia lista de sitios web como esa persona. No necesita capturar nombres de inicio de sesión o contraseñas, por lo que no importa si tiene cuidado de no ingresar su contraseña en nada a través de una conexión abierta. Todo lo que necesita es su cookie y luego puede registrar a otra persona en su Facebook, GMail, Twitter, Amazon (incluso pueden realizar pedidos con un clic en su nombre), etc. BoingBoing tiene un poco mássobre lo que esto demuestra acerca de la seguridad web.

Lo aterrador es que Firesheep no hace nada mágico. Simplemente hace un proceso que cualquiera podría hacer (escuchar el tráfico WiFi abierto y detectar los bits interesantes) y lo hace fácil con un solo clic.

Muy muy interesante Había oído hablar de Firesheep pero no sabía lo que hacía. Pero me imagino que las cookies de Firesheep son típicamente cookies de sesión. O incluso si no lo son, la mayoría de los sitios con un nivel razonable de seguridad hacen que las credenciales guardadas caduquen periódicamente, digamos en 2 semanas. Realmente no me preocupa que alguien en una cafetería publique un estúpido estado de Facebook para mí. Me preocupa que los piratas informáticos vendan mis cuentas, lo que requiere credenciales transferibles con cierto nivel de durabilidad. ¿O me estoy perdiendo algo?
@Paul Tiene razón en que esto solo le da al atacante acceso a su sesión, si está al tanto de esto y no le preocupa la suplantación de identidad de Facebook, está bien. Sin embargo, el correo web es algo que te estás perdiendo. El acceso temporal a eso es increíblemente útil para un atacante. Cuando se registra en sitios web, sus inicios de sesión a menudo se le envían por correo electrónico, eso es muy fácil de buscar en el correo electrónico de alguien. O un atacante puede ir a varios sitios y hacer clic en el botón "Olvidé mi contraseña" para recibir la contraseña por correo electrónico en la cuenta a la que ahora pueden acceder. Para un acceso a largo plazo, pueden configurar una regla que les reenvíe todo el correo.
Mmmm. Gracias. La seguridad es tan compleja a veces. Aún así, el listón ahora es mucho más alto para ellos. Pocos sitios con seguridad razonable les enviarán por correo electrónico la contraseña real; en cambio, lo restablecerán, momento en el que veré que algo está roto. Además, puedo ver la regla de reenvío. Solo quiero estar lo suficientemente seguro como para que la gente robe de otro lugar en lugar de piratearme. Me parece que mi uso es suficiente para cumplir con ese criterio, aunque podría estar equivocado.

Después de investigar la pregunta que vinculé anteriormente, encontré la siguiente página (traducida de Germain), donde los autores determinaron que la mayoría de las aplicaciones comunes de Android que probaron no enviaban contraseñas en texto claro: http://www.heise.de/ mobil/artikel/Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html?artikelseite=6

Resulta que esto no es tan útil como la respuesta anterior de GAThrawn; No entendí las ramificaciones completas de las cookies.

Riesgos de seguridad de las "redes Wi-Fi abiertas"
RespuestasAquíPolítica de privacidad1y, 0v