Rechazar cualquier certificado ssl personalizado en una aplicación móvil

6

Considere el siguiente escenario.

  1. Eve crea un punto de acceso en un lugar público.
  2. Alice se conecta al AP a través del teléfono móvil y comienza a navegar por la Web.
  3. Eve redirige a Alice a una página de registro y le sugiere a Alice que lea y acepte los términos y condiciones bla-bla e instale un certificado SSL .
  4. En lo que respecta a que Alice es un usuario móvil ordinario, instala el certificado sin pensar (solo hace clic en el botón Aceptar ya que el mensaje de registro contiene más de 140 caracteres). Lo más importante es que es un procedimiento de un solo paso en la mayoría de los dispositivos móviles .
  5. Ahora Eve puede realizar un ataque MITM. Ella puede secuestrar el tráfico HTTP (S).

Considérate un desarrollador de aplicaciones móviles de Bob. ¿Cómo podemos prevenir el ataque descrito? ¿Podemos incluso hacer eso? Siéntase libre de sugerir su solución para cualquier sistema operativo móvil.

    
pregunta newbie 29.04.2014 - 02:54
fuente

1 respuesta

6

Si usted es el desarrollador de la aplicación, lo mejor que puede hacer es fijar el certificado, lo que significa que si ve un certificado diferente al que conoce y en el que confía (por ejemplo, comparando la huella digital o la clave pública), elimine la conexión y salir de allí.

De lo contrario, está confiando en un sistema que ha demostrado estar dañado, según su ejemplo. Sin embargo, hay algunos problemas prácticos con su ataque, ya que la instalación de un certificado raíz es un poco más complicada que con un solo clic y, con suerte, los usuarios no son tan tontos, no importa.

    
respondido por el Steve 29.04.2014 - 03:08
fuente

Lea otras preguntas en las etiquetas