¿Aplicaciones del teléfono que tienen habilitado SSL / TLS detrás de la escena?

Navega tus respuestas
3

Por favor, tenga en cuenta: Esta pregunta se basa ligeramente en que soy un sombrero frustrado con los problemas que surgieron de las filtraciones, los documentos y el cuestionamiento de la confianza gracias a Edward Snowden.

Gracias a agregar mi servicio VPN a mi teléfono para mejorar la seguridad y dejar de "espiar" a Verizon en mis datos y uso, cuestiono la confianza con Twitter, Facebook, Google y todas las principales aplicaciones de redes sociales y cómo mantienen nuestros datos seguros cuando accedemos a sus aplicaciones.

No hay aviso, información o indicación de que estén utilizando SSL / TLS en sus aplicaciones para Android, Windows Phone y iPhones.

¿Facebook, Twitter, Google Plus y otras aplicaciones importantes tienen SSL / TLS habilitado y codificado en sus aplicaciones de teléfono / tableta entre bastidores?

    
pregunta Traven 16.06.2014 - 21:00
fuente

2 respuestas

3

La respuesta breve para su pregunta es sí , la mayoría de las aplicaciones de redes sociales (y oficiales) utilizan conexiones cifradas. Sin embargo, si está interesado, hay formas de averiguarlo usted mismo configurando un servidor proxy que le permita reenviar el tráfico a través de ese sistema y luego analizar los datos. Sin embargo, hay algunas herramientas para hacer esto:

1- Hay una Extensión de Androguard llamado MalloDroid que

  

facilita el análisis de código estático de las aplicaciones de Android.

Los detalles específicos son los siguientes:

  • Analice las llamadas a la API de redes y extraiga las URL HTTP (S) válidas de las aplicaciones descompiladas
  • Verifique la validez de los certificados SSL de todos los HTTPS extraídos anfitriones.
  • Identifique las aplicaciones que contienen llamadas API que difieren de las predeterminadas de Android El uso de SSL, por ejemplo, contiene administradores de confianza no predeterminados, socket SSL Fábricas o verificadores de nombre de host con verificación permisiva estrategias.

2- ZAP por Zscaler es un

  

herramienta basada en web diseñada para agilizar la captura y análisis de   Tráfico HTTP (S) de aplicaciones móviles. ZAP es capaz de analizar   tráfico de aplicaciones iOS y Android .

ZAP comprueba lo siguiente:

  • Autenticación: el nombre de usuario / contraseña se envió en texto sin cifrar o usando una débil métodos de codificación.
  • Fuga de metadatos del dispositivo: datos que pueden identificar un dispositivo individual, como el Identificador de dispositivo único (UDID).
  • Fuga de información de identificación personal: datos que pueden identificarse un usuario individual, como una dirección de correo electrónico, número de teléfono o correo dirección.
  • Contenido expuesto: comunicación con terceros, como la publicidad o sitios de análisis.

Sources:

  

enlace

     

enlace

     

enlace

    
respondido por el Abbas Javan Jafari 16.06.2014 - 21:20
fuente
1

Hace dos años me hice esta pregunta y decidí verla por mí misma. Configuré un laboratorio con un escenario de ataque MITM y probé un par de aplicaciones, incluyendo Twitter y Whatsapp.

  • La respuesta a su pregunta: Sí , la mayoría de estas aplicaciones utilizan conexiones cifradas para transferir sus datos desde su teléfono a sus servidores. Sin embargo, recuerde que una vez que sus datos llegan a ellos, depende de ellos almacenarlos en el texto sin cifrar o cifrarlos y luego almacenarlos, o simplemente eliminarlos.
  • Otra cosa a tener en cuenta es el hecho de que estas aplicaciones pueden caer en ataques SSL-MITM donde un atacante genera su propio certificado y lo envía a la aplicación alegando que él es el servidor. A menos que la aplicación esté programada para rechazar tales certificados falsos, cualquiera puede rastrear sus datos, incluso si están cifrados. (Puedo confirmar que Twitter no es vulnerable a esto el día que hice la prueba)
  • Esto se aplica a otras aplicaciones del sistema operativo como Contactos, Servicio de iCloud, Notas, etc.
respondido por el AK_ 16.06.2014 - 21:13
fuente

Lea otras preguntas en las etiquetas

¿Trojan de hardware además de la tarjeta de red? ¿Qué es una huella digital del servidor en ssh?