teléfono Android (Kitkat) enumera una gran cantidad de CAs

-1

Mi teléfono Android (Kitkat) enumera MUCHA CA en la configuración- > seguridad- > Credencial de confianza. ¿Significa que cualquiera que tenga acceso a cualquiera de esas claves privadas de esas CA (s) puede monitorear o realizar un ataque "Man in the Middle" en mi teléfono cuando se comunica con Internet?

Supongo que se puede monitorear no solo el navegador en el teléfono, sino también toda la comunicación https encriptada si alguna aplicación usa https, ¿correcto?

Además, si instalé mi propia CA en la parte del USUARIO del teléfono, ¿puedo monitorear todas las comunicaciones cifradas https entre mi teléfono y el servidor de la aplicación en la red?

No me importaría saber más detalles sobre lo que todas las aplicaciones están hablando con el servidor sobre mí, especialmente cuando están cifradas.

    
pregunta tk.lee 07.01.2015 - 18:17
fuente

1 respuesta

1

Cualquier persona con acceso a la clave privada de una de estas CA (o sus CA subordinadas) puede emitir certificados que su teléfono considerará válidos. Pero no pueden inspeccionar o monitorear la comunicación encriptada con las claves de otra persona (es decir, otras CA).

Si instala su propio certificado de CA, puede emitir certificados falsos para cualquier sitio que desee, y para Instancia usar un proxy interceptor (como Burpsuite de portswigger o ZED proxy de ataque) para atacar a usted mismo en el medio e inspeccionar el el tráfico con certificados que su teléfono y la mayoría de las aplicaciones en el teléfono aceptarán como válidos. (a menos que la aplicación haya utilizado la fijación SSL / TLS). Hacer esto es fácil en un iPhone y un poco más complicado en Android, buscar en Google para interceptar el proxy en Android, o tal vez alguien que use un teléfono con Android pueda darte algunos consejos.

    
respondido por el vidar 07.01.2015 - 22:27
fuente

Lea otras preguntas en las etiquetas