Cifrado en un teléfono móvil - ¿un mito?

Navega tus respuestas
8

Bueno, hace unos seis meses tuve el placer de conocer a Harald Welte y cuando habló sobre banca móvil (banca a través de los teléfonos inteligentes) dijo que la mayoría de la gente está segura, mientras que, de hecho, los proveedores de servicios móviles rechazan todos los datos que son ilegibles para ellos (encriptados).

Sin embargo, de otras fuentes que me parecieron confiables, incluido este sitio también (por ejemplo, este tema ), tengo la impresión de que esto no es del todo cierto.

Entonces, la pregunta sería: ¿es menos seguro enviar datos cifrados a través de infraestructura móvil y luego enviarlos a través de una conexión a internet "estándar" (considerando las tecnologías de punta en ambos sectores y la práctica más comúnmente utilizada)?

    
pregunta StupidOne 12.08.2011 - 19:42
fuente

3 respuestas

10

La afirmación de que "los proveedores de servicios móviles rechazan todos los datos cifrados" no es exacta. Que yo sepa, los operadores de telefonía móvil no bloquean las conexiones SSL o las conexiones VPN. Tal vez hubo una falta de comunicación o una mala interpretación de lo que exactamente quiso decir Harald.

Por otro lado, aquí hay una cosa que es verdad. Muchos estándares celulares incluyen algún tipo de cifrado de la capa de enlace para la voz o los datos que se transmiten a través del enlace inalámbrico entre el teléfono y la estación base. Sin embargo, se han encontrado fallas importantes en estos estándares de cifrado. Además, muchos operadores de telefonía móvil permitirán a los gobiernos acceder a estos datos en la oficina central, una vez que los hayan descifrado. También ha habido portadores que han desactivado el cifrado de la capa de enlace, y gobiernos que han requerido que los proveedores de portadores / equipos desactiven el cifrado de la capa de enlace a nivel local (o al exportar equipos celulares).

Pero, si tiene un teléfono inteligente, aún puede usar su propio cifrado de extremo a extremo para proteger sus propias conexiones; los operadores de telefonía móvil no lo bloquean. Y si usa su propio cifrado de extremo a extremo, o si usa aplicaciones que implementan su propio cifrado de extremo a extremo, las debilidades de las capas de enlace y las puertas traseras no dañan su seguridad, porque ha eliminado la dependencia en el cifrado de la capa de enlace del operador de telefonía móvil.

Es cierto que es probable que el envío de datos a través de un teléfono móvil sea menos seguro que una conexión por cable. Esto se debe a que la mayoría de las aplicaciones telefónicas no utilizan cifrado de extremo a extremo, y la mayoría de los datos se envían sin ningún cifrado de extremo a extremo. (Por ejemplo, la mayoría de los sitios web utilizan conexiones HTTP sin cifrar, en lugar del cifrado HTTPS de extremo a extremo). Por lo tanto, la mayoría de los datos enviados desde su teléfono son tan seguros como el cifrado de capa de enlace celular, y eso no es terriblemente seguro .

    
respondido por el D.W. 12.08.2011 - 21:23
fuente
3

Mi proveedor de telefonía móvil, por ejemplo, sufre una conexión VPN a través de mi teléfono. Los datos encriptados a través de SSL o VPN ... o cualquier otro método para el caso, deberían pasar.

Hay ciertos tipos de tráfico identificado que los proveedores a menudo bloquean (por ejemplo, bit torrent), pero no veo un aumento particular en el riesgo entre los datos celulares y WiFi que no sea rango / potencia. Todo lo que significa es que si tuviera la tecnología para alterar tus señales en el aire, podría hacerlo desde más lejos.

    
respondido por el Jeff Ferland 12.08.2011 - 19:55
fuente
2

El riesgo de seguridad en la red normal y en la red de datos móviles es casi el mismo y la implementación debe tener esto en cuenta al diseñar la comunicación. En el ejemplo de la aplicación de banca móvil, yo diría que la banca móvil puede ser más segura que la banca basada en el navegador debido a la siguiente razón:

  1. Si la fuente es una aplicación, se puede administrar para manejar los certificados de servidor a su manera. Un navegador puede estar comprometido en cierta medida y los usuarios pueden estar equivocados con un sitio de piratas informáticos. En dispositivos móviles, puede tener una regla estricta de qué certificado debe aceptarse al realizar el protocolo de enlace SSL. Las sesiones SSL, si se utilizan con una fuerza óptima, poseen la misma fuerza independientemente del canal de comunicación.
  2. Si hay una forma de alojar su servidor móvil junto con la empresa de telecomunicaciones, podría ser posible rastrear la fuente de la solicitud, como la dirección IP y el número de teléfono móvil. Esto podría proporcionarle una excelente validación, como la verificación de la asignación de ID de usuario registrado y el número de móvil. Sí, pero este enfoque no siempre es factible, ya que la vinculación con múltiples empresas de telecomunicaciones no es práctica ni económica.
  3. Los ataques, como el oyente del teclado, son comparativamente menos en dispositivos móviles debido a las limitaciones de la plataforma de tales dispositivos. Aunque se pueden atacar los dispositivos móviles actuales como IPhones y Android que son sistemas operativos con todas las funciones.
respondido por el Mohit Sethi 22.06.2012 - 11:19
fuente

Lea otras preguntas en las etiquetas

¿A quién se aplican los requisitos de contraseña de PCI DSS? Fortify360 - Fregaderos y fuentes - Recuento de vulnerabilidad