Dans quelle mesure dois-je être paranoïaque pour permettre à mon téléphone de se connecter à des points d'accès Wi-Fi ouverts / non chiffrés?
Peu m'importe si d'autres personnes voient mes données (e-mails reçus ou envoyés, cotations boursières, etc.). Je pense que tout ce qui m'importe, c'est de voir s'ils voient mes mots de passe (Gmail, Facebook, etc.).
Je comprends que je ne veux probablement pas établir de connexion avec une institution financière et que je suis potentiellement sujet à des attaques de l'homme du milieu même si mes mots de passe ne sont pas en texte clair.
Veuillez noter que je suis au courant de cette question et de sa réponse, et elle ne répond pas vraiment à ma question, car il s'agit uniquement des données: quelles données synchronisées Android sont cryptées?
Si cette question a déjà été posée et répondue, veuillez me la signaler. J'ai cherché avec le moteur intégré et Google et je ne l'ai pas trouvé.
Réponses:
Si vous utilisez le navigateur Web Android pour accéder à des sites auxquels vous vous êtes connecté et qui n'utilisent pas de page cryptée SSL pendant que vous les parcourez, alors vous devriez être très paranoïaque.
Prenez connaissance du module complémentaire Firesheep pour Firefox, il utilise le fait que sur une connexion Wifi ouverte et non cryptée, n'importe qui peut écouter le trafic réseau de toute autre personne connectée. Il écoute les cookies que les ordinateurs portables et les téléphones d'autres personnes envoient pendant leur navigation, saisit ces cookies et vous permet de les utiliser pour vous connecter à une vaste liste de sites Web en tant que cette personne. Il n'a pas besoin de capturer les noms de connexion ou les mots de passe, donc peu importe si vous faites attention à ne pas entrer votre mot de passe dans quoi que ce soit via une connexion ouverte. Tout ce dont il a besoin, c'est de votre cookie et il peut ensuite connecter quelqu'un d'autre à votre Facebook, ou GMail, ou Twitter, Amazon (ils peuvent même passer des commandes en un clic en votre nom), etc. BoingBoing a un peu plus sur ce que cela démontre sur la sécurité Web.
Ce qui est effrayant, c'est que Firesheep ne fait rien de magique. Cela rend juste un processus que n'importe qui pourrait faire (écouter le trafic WiFi ouvert et repérer les bits intéressants) et le rend facile en un seul clic.
la source
Après avoir enquêté sur la question que j'ai liée ci-dessus, j'ai trouvé la page suivante (traduction de Germain), où les auteurs ont déterminé que la majorité des applications Android courantes qu'ils avaient testées n'envoyaient pas de mots de passe en texte clair: http://www.heise.de/ mobil / artikel / Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html? artikelseite = 6
Il s'avère que ce n'est pas aussi utile que la réponse de GAThrawn ci-dessus; Je n'ai pas compris toutes les ramifications des cookies.
la source