¿Mis aplicaciones de Android usan TLS u otro cifrado cuando están conectadas a wifi público? ¿Cómo puedo decir?

Navega tus respuestas
13

Tengo un teléfono con Android. Cuando está conectado solo a la red 3G de mi operador, me imagino que es razonablemente seguro contra las escuchas ilegales (aunque no es invulnerable). Sin embargo, en ocasiones debido a la falta de recepción u otras razones, puedo conectarme a una red wifi pública y usar mi teléfono de esa manera.

Aunque me preocupa. Si utilizo mi aplicación GMail, o una aplicación bancaria, o incluso algo menos importante como Twitter, ¿mis datos se envían de forma segura? ¿O es probable que alguien más esté leyendo mis mensajes enviados de esta manera?

Si carga GMail o Twitter en un navegador, puedo ver si el protocolo en la URL es https y si los certificados parecen válidos. La mayoría de los navegadores tienen un ícono prominente para avisarte cuando están en modo seguro y todo se verifica. Las aplicaciones de Android que he visto no tienen nada como esto, por lo que puedo decir que no tengo nada más que ciegos, espero que los desarrolladores hayan asegurado el tráfico en sus aplicaciones.

¿Las aplicaciones de Android que tengo envían mi información personal a través de Wifi de forma segura? ¿Cómo puedo saberlo? ¿Y hay algún estándar o característica del sistema operativo que Google pueda usar para hacer cumplir esto? ¿O es que todos los desarrolladores por sí mismos?

    
pregunta Joshua Carmody 30.12.2011 - 20:16
fuente

3 respuestas

11

El cifrado y la autenticación inherentes a la red 3G lo protegen solo dentro de la infraestructura del proveedor 3G, pero no más allá. Si realiza una conexión HTTP simple sin cifrar con su teléfono, los datos se desprotegen una vez si quedan fuera de la red del proveedor y entran a Internet en general, donde las bestias salvajes vagan. Si una aplicación está enviando datos privados no protegidos, tiene un problema, independientemente de si el envío pasa primero a través de WiFi o 3G. El WiFi solo hace que el problema sea más localmente obvio .

Para tener una idea de cómo se manejan las cosas en su teléfono, puede ejecutar una aplicación de captura de paquetes , como usted podría hacer con una PC. Sin embargo, probablemente necesitará que el teléfono esté enraizado. Además, incluso si la captura muestra una sesión SSL / TLS, aún no sabe cómo el cliente autentica el certificado del servidor (en particular, qué certificados raíz acepta la aplicación y cómo se compara el certificado con el nombre del servidor deseado) , por lo que no puede obtener plena seguridad de que una aplicación aleatoria hace las cosas correctamente.

No hay nada en el sistema operativo que aplique el uso de TLS; pero al menos se proporciona un cliente TLS razonablemente bueno, y la mayoría de las aplicaciones que desean para hacer algo, SSL / TLS realmente usará HTTPS, para lo cual la implementación predeterminada hace las cosas de una manera razonablemente sana (como un navegador web). Así que podemos decir que un desarrollador de aplicaciones que usa SSL / TLS pero falla, debe haber sido excesivamente creativo en su descuido.

    
respondido por el Tom Leek 30.12.2011 - 20:42
fuente
1

La aplicación GMail, su aplicación bancaria o "algo menos importante como Twitter" no tienen ningún requisito para enviar sus datos de forma segura a través de la conexión WiFi (o cualquier conexión por cable). Debe investigar cada aplicación para poder concluir si sus datos se están enviando de forma segura o no.

El uso de Wi-Fi "público" lo expone a algunos ataques de los que no es posible usar una conexión por cable, porque no tiene forma de estar seguro de que el punto de acceso sea "amigable" para usted o de que sus compañeros se encuentren en ese mismo punto de acceso. son igualmente "agradables".

Es posible superar los mecanismos de seguridad de los hashes MDT de HTTPS, TLS e incluso (jadeo). No existe tal cosa como una suite de protocolo / comunicaciones de red "perfectamente segura". Sólo hay unos "más seguros" y "menos seguros". Sin embargo, hay cosas que puede agregar como capas adicionales de protección mientras utiliza estos puntos de acceso públicos.

Cosas como VPN, túneles SSL, navegación privada, TOR, privoxy, configuración de "requiere HTTPS", y muchos otros pueden utilizarse para mejorar la seguridad de sus comunicaciones en estos puntos de acceso públicos.

Android te permite configurar una VPN con bastante facilidad. Debería considerar siempre la posibilidad de enviar VPN desde puntos de acceso públicos a su servidor doméstico, y luego enviar su tráfico a Internet desde allí.

Utilizar una VPN es una buena manera de mejorar la seguridad de un punto de acceso WiFi desconocido / no confiable.

Para responder a tu pregunta final: es, de hecho, "¡todos los desarrolladores en la biosfera de Android!"

    
respondido por el Mike S. 31.12.2011 - 03:13
fuente
0

Aparentemente, también puede agregar su propio certificado autofirmado al almacén de certificados y al administrador de conexiones de su aplicación a través de la conexión wifi local.

También intentaría ssl strip en las aplicaciones porque algunas aplicaciones pueden usar http sin seguridad cuando https no funciona.

Vea los siguientes podcasts para más detalles

respondido por el Andrew Russell 30.12.2011 - 21:40
fuente

Lea otras preguntas en las etiquetas

Diferencia entre la fijación del certificado y la fijación de la clave pública ¿Se puede realizar un cifrado SSL de extremo a extremo real?