Sí, es una amenaza. No solo con redes abiertas, cualquier red que pertenezca a alguien en quien no confíe (como las redes de centros comerciales que están protegidas pero que proporcionan una contraseña) Hay muchas cosas que pueden hacer:
Lee todo tu tráfico no cifrado
Todo lo que envíes a través de una conexión http puede ser leído por ellos. Contraseñas, nombres de usuario, números de tarjetas de crédito, las obras. Todos estos se envían en texto simple y se pueden registrar fácilmente.
Muchas aplicaciones también se ejecutan en conexiones no cifradas. Hay una gran cantidad de información importante que puede ser extraída de ellos.
Falsea todo tu tráfico cifrado
Por lo general, es difícil falsificar HTTPS porque necesita un certificado válido para que funcione. Sin embargo, muchas veces escribe una URL HTTP en la barra de direcciones y le redirige al equivalente de HTTPS. Por ejemplo, cuando escribe http://mail.google.com
en la barra de direcciones, obtiene lo siguiente (es una redirección):
<html>
<head>
<meta http-equiv="Refresh" content="0;URL=http://mail.google.com/mail/"/>
</head>
<body>
<script type="text/javascript" language="javascript">
<!--
location.replace("http://mail.google.com/mail/")
-->
</script>
</body>
¿Y si esto no estaba allí? Mientras que las aplicaciones que acceden directamente a GMail seguirán funcionando (saben acerca de https), cualquier cosa que escriba en la barra de direcciones que no esté explícitamente en https puede ser eliminada. Pueden redirigirlo a un GMail falso, donde iniciará sesión y robarán sus credenciales. Si bien la autenticación de dos factores ayuda, no evita que roben sus cookies, lo que les dará acceso a su cuenta hasta que cierre la sesión.
Lo contrario también es posible. Pueden usar un redireccionamiento 301 Moved Permanently
para servirle a HTTP cuando solicite HTTPS, y le darán algo que dice http://mail.google.com
en la URL pero realmente apunta a un servidor completamente diferente. Los navegadores móviles y de escritorio parecen permitir 301 redirecciones sin problemas. Los navegadores de escritorio se complican cuando hay una redirección HTTPS no autorizada, pero los navegadores móviles no.
En los navegadores de escritorio modernos, es fácil identificar cuándo está sucediendo esto, por ejemplo, Chrome muestra esto:
cuandoestáenunaconexiónhttps.Siestáalerta,notarásielHTTPSsereemplazaporHTTPenunnavegadordeescritorio(yaqueeliconoyanoestáenverde),perolamayoríadelosnavegadoresmóvilesnoparecentenerningunaformadeindicarunaconexiónsegura.p>
Esteproblemasepuederesolver(enelladodelsitio)medianteelusodeHSTS,yensuladomedianteelusodemarcadoresymantenerelhistorialdelnavegador.
Accesonoautorizadoaldispositivo
Dependiendodesuconfiguracióndeusocompartido(ydecómoconfigurelaredcomo,siempre,siempreuse"Public" para redes en las que no confía), es posible que tenga acceso a su sistema de archivos de Windows . A menos que tenga configurado ssh o telnet (y si lo tiene, asumo que sabe cómo mantenerlo seguro), Linux generalmente está a salvo de esto. La mayoría de los teléfonos también lo son.