La mayoría de la seguridad de Wi-Fi se centra en el bloqueo del acceso autorizado a la red que proporciona un punto de acceso inalámbrico; pero considerando la mezcla heterogénea de comunicaciones de fondo a aplicación en la nube en un teléfono móvil, conectarse a puntos de acceso Wi-Fi verificados es tan importante como la verificación del sitio web SSL / TLS.
¿Cómo, en su caso, se verifican los puntos de acceso a Wi-Fi? ¿Alguna de esta verificación está implícita en el estándar de Wi-Fi?
En pocas palabras, a menos que esté hablando de WPA2-Enterprise con EAP, no hay verificación. Las redes WiFi están identificadas solo por SSID, por lo que si cambia el nombre de su red wifi doméstica a "attwifi" y elimina la contraseña, es probable que se conecten automáticamente dispositivos de algunos extraños. Esto se llamaría un punto de acceso no autorizado.
Por supuesto, si la comunicación de la aplicación a la nube está cifrada (con SSL / TLS), entonces realmente no importaría si la aplicación envía información a través de un punto de acceso no autorizado. Es la comunicación sin cifrar que supondría un riesgo para la seguridad.
Editar:
Creo que los desarrollos recientes han hecho posible la posibilidad de autenticar hotspots utilizando EAP-TLS, aunque no estoy muy familiarizado con cómo funciona exactamente este procedimiento, por lo que tal vez alguien más pueda explicarlo. Encontré lo siguiente en Wikipedia:
El 22 de agosto de 2012, hostapd (y wpa_supplicant) agregaron soporte en sus El repositorio de Git para un tipo de EAP específico del proveedor de UNAUTH-TLS (utilizando el hostapd / wpa_supplicant project RFC 5612 Private Enterprise Number), [7] y el 25 de febrero de 2014 se agregó soporte para WFA-UNAUTH-TLS. tipo de EAP específico del proveedor (mediante la Wi-Fi Alliance Private Enterprise Número), [8] [9] que solo realiza la autenticación del servidor. Esto permitiría para situaciones como HTTPS, donde un punto de acceso inalámbrico permite el acceso gratuito Accede y no autentica clientes de estación sino clientes de estación. desea utilizar el cifrado (IEEE 802.11i-2004, es decir, WPA2) y potencialmente autenticar el punto de acceso inalámbrico. También ha habido propuestas para use IEEE 802.11u para los puntos de acceso para indicar que permiten EAP-TLS utilizando solo la autenticación del lado del servidor, utilizando el estándar IETF de EAP-TLS escriba en lugar de un tipo de EAP específico del proveedor. [10]
No hay absolutamente ninguna manera de verificar un AP en la naturaleza. Como dijo el usuario 54791, solo ves el SSID, y no hay protecciones integradas en el AP ni en los teléfonos inteligentes que puedan garantizar que el AP al que deseas conectarte sea realmente el correcto. Esta es exactamente la razón por la que no confío en CUALQUIER wifi, gratis o no. Y de hecho, es el wifi "pagado" que realmente debería preocuparte. ¿Estás dispuesto a dar información de tu tarjeta de crédito solo porque parece oficial? Espero que no. Conectarse a un AP es simplemente conectarse a Internet, ¡así de simple! La única diferencia es que confía en conectarse a su AP doméstico, pero después de eso, ¡incluso un ataque MITM puede suceder a su conexión!
Lea otras preguntas en las etiquetas wifi