Usé GroupMe en mi teléfono personal en el WiFi de mi escuela y envié algunos mensajes muy privados. He confirmado que mi escuela no está realizando un ataque MITM comparando las huellas dactilares de grc.
Sin embargo, he leído que GroupMe no proporciona cifrado de extremo a extremo, sino solo cifrado estándar. ¿Qué significa esto? ¿Puede mi escuela ver el contenido exacto de mis mensajes si lo desean?
Si la aplicación realiza el cifrado en el tráfico (y no ha configurado su teléfono de una manera especial para esta red, como agregar una CA adicional proporcionada por ellos), su escuela no sabrá lo que dijo.
Sin mencionar que incluso si tuvieran la capacidad técnica para ver el tráfico, podría ser ilegal que vean sus mensajes.
Por otra parte, mencionas que "confirmaste que la escuela no está realizando un ataque MITM al comparar las huellas dactilares de grc". Supongo que quiere decir que fue a enlace y ... comparó las huellas digitales que figuran allí con las que se muestran en su navegador ?
Esto tiene un par de problemas:
En primer lugar, un MITM que interceptó todo el tráfico también podría reemplazar las huellas dactilares que muestra la página (tendrían que ser bastante determinados, pero sería posible). Sería mejor que comparara las huellas dactilares mostradas por su navegador en la red sospechosa, con aquellas cuando se encuentra en una red segura (por ejemplo, su hogar). Tenga en cuenta que, de forma predeterminada, ningún cliente aceptaría dichos certificados MITM (el sistema debería configurarse para confiar en ellos). Y si la aplicación GroupME está correctamente codificada , no aceptará un certificado no válido ...
Que no estén haciendo MITM en un servidor no significa que no lo hagan en ninguno. Es posible que no tengan páginas MITM que estén listadas como seguras en su solución proxy, pero OTOH intercepte con sus propias páginas de certificados en una categoría diferente (por ejemplo, social) para realizar una comprobación adicional.
Incluso si la conexión no fue interceptada, GroupMe (o cualquier persona con acceso adecuado al lugar donde guarda los datos) podría acceder técnicamente a eso (puede o no ser legal).
Esto contrasta con el cifrado de extremo a extremo, donde solo el otro dispositivo puede descifrar el mensaje (y cuando la comprobación de la huella digital de la conversación con el otro destinatario muestra que no ha habido intercepción).
No obstante, incluso si el mensaje llegara de manera segura al otro dispositivo, un tercero todavía podría saberlo, incluso enviándolo, mostrándolo a otro alumno (¡vea lo que Mike me dijo!), confiscado o incluso a partir de un análisis de factores (un maestro puede no saber su comunicación exacta durante un examen, pero si dos alumnos tienen las mismas respuestas, concluirá que hicieron trampa).
En el contexto de la mensajería instantánea, interpretaría estos términos de la siguiente manera:
Suponiendo que GroupMe está utilizando un buen cifrado (no tengo idea si lo hacen), tu shool no debería poder leer tus mensajes. Sin embargo, GroupMe o cualquier persona con acceso a sus servidores (por ejemplo, la policía, piratas informáticos, etc.) podría leerlos.
Supongo que aquí no ha otorgado ningún control sobre su teléfono a la escuela y que no ha instalado ningún software o certificado de ellos. Si tiene, suponga que pueden ver todo .
Lea otras preguntas en las etiquetas end-to-end-encryption instant-messaging