¿Se pueden interceptar o comprometer los datos del teléfono móvil?

4

Estaba leyendo esta pregunta hoy: ¿KRACK significa que los cafés wifi nunca volverán a estar seguros? y pensé para mí mismo ... OK, solo usaré datos móviles en lugar de wifi públicos.

Pero mi siguiente pregunta fue, ¿cómo puedo garantizar que mis datos móviles no puedan ser interceptados?

Al hacer un poco de búsqueda en Internet, encontré artículos como este: HACKER SPOOFS CELL PHONE TORRE PARA INTERCEPTAR LLAMADAS

que dice cosas como:

  

El dispositivo engaña a los teléfonos para desactivar el cifrado y los registros   Llama a los detalles y el contenido antes de que sean enrutados en su forma correcta   a través de voz sobre IP.

Pero esto se refiere a las llamadas en particular.

¿Se puede hacer lo mismo con los datos?

es decir, ¿Mensajes HTTPS y E2EE?

E.g.

Visito enlace en mi dispositivo móvil a través de datos móviles y escribo mi nombre de usuario y contraseña. ¿Puede alguien interceptar y leer mi contraseña?

    
pregunta user1 25.10.2017 - 11:05
fuente

2 respuestas

5

Primero que nada, KRACK está solo en el nivel WiFi. Un atacante no obtiene más acceso a los datos que el operador del punto de acceso inalámbrico. Probablemente no deberías confiar en cafés aleatorios más que en el extraño promedio. HTTPS incluso a través de un enrutador comprometido aún debería ser seguro.

Ahora, en una conexión móvil. La respuesta corta es sí: se pueden leer los datos que no se envían cifrados a un nivel superior (es decir, https).

  • La opción fácil para una estación base falsa es forzar a su teléfono a 2G que no está cifrada.
  • El cifrado 3G tiene varias debilidades conocidas.
  • el cifrado 4G debería estar bien. Pero es solo desde el teléfono hasta la estación base. Un operador malicioso (ya sea ellos mismos o al permitir el acceso a otros actores) o alguien que logra leer los datos de la red troncal de los operadores puede obtener tanto como con KRACK.
  

Visito enlace en mi dispositivo móvil a través de datos móviles y escribo mi nombre de usuario y contraseña. ¿Puede alguien interceptar y leer mi contraseña?

Siempre y cuando el nombre de usuario y la contraseña se envíen a través de HTTPS (el hecho de que la carga de la página inicial haya sido superada por HTTPS no lo garantiza, aunque algunos navegadores ahora le avisarían si no lo hiciera) y confía en todas las CA para las que su dispositivo ha almacenado certificados raíz y luego no pueden interceptarlo. El hecho de que se haya enviado a través de datos móviles es irrelevante.

    
respondido por el Hector 25.10.2017 - 12:34
fuente
3

La pregunta más grande es: ¿qué tan paranoico eres? Bromeamos sobre eso "seguro de que somos paranoicos, pero ¿somos lo suficientemente paranoicos?"

Cualquier cosa puede ser interceptada y resquebrajada con suficientes recursos. Los cafés con wifi nunca fueron tan seguros para empezar - busque 'hotspot de wifi de airsnort airsnort "y hay más de 2 millones de resultados. También sabemos que varios departamentos de policía están utilizando Stinger para barrer las comunicaciones wifi / celulares (no voy a entrar en una discusión de la legalidad de eso aquí ...)

HTTPS es un medio de comunicación entre su navegador y el host. Ese tráfico pasa por algo, lo que significa que puede ser interceptado. Dependiendo de si se usa SSL o TLS, existe un grado variable de dificultad para comprometer ese tráfico. Por lo tanto, puede ser interceptado, pero difícil de leer.

¿Cómo garantiza que no será interceptado? Entregarlo manualmente a su destinatario. De lo contrario no hay garantía. Las cartas se pueden interceptar, abrir y volver a sellar. El tráfico de red puede ser, y regularmente es, interceptado. ¿Puede alguien interceptar la contraseña? Sí. ¿Pueden leerlo? Depende de la página web y del nivel de cifrado que se utilice. La mayoría de los lugares utilizan algún nivel de cifrado, pero me sorprende que algunos sigan transmitiendo contraseñas en texto sin cifrar.

Ahora, antes de que te vayas sintiendo "Estoy jodido", ten en cuenta que algunas buenas prácticas pueden ayudarte. Usa el sentido común cuando estés en público. No confíes en los puntos de acceso wifi. Solo conéctese a la banca, etc. cuando esté en casa o en un lugar en el que sepa que puede confiar. Use una contraseña diferente para la banca que usted para cualquier otra cosa, y solo úsela para un sitio web bancario. Haz eso, y deberías estar bien.

    
respondido por el baldPrussian 26.10.2017 - 19:38
fuente

Lea otras preguntas en las etiquetas