Я знаю, что подключение к общедоступному Wi-Fi сопряжено с риском. Я знаю, что большая часть риска связана с отправкой данных через общедоступное соединение, что позволяет их перехватить.
Итак, мой вопрос: большинство или все приложения для Android используют SSL или какой-либо другой безопасный протокол? Является ли SSL принудительным с помощью политики Android или технических ограничений? Должен ли я беспокоиться только о веб-сайтах в моем браузере, которые используют http?
Если приложение использует безопасное соединение, означает ли это, что его значительно безопаснее использовать в общедоступной сети Wi-Fi? Я знаю, что люди, создающие свою собственную сеть Wi-Fi или подменяющие других, по-прежнему представляют собой риск, но есть ли что-то еще?
Ничто не заставляет использовать HTTPS для приложений Android. Некоторые данные может не иметь смысла передавать по HTTPS, вместо этого полагаясь на другие механизмы (например, проверку подписи ключа GPG) для проверки данных.
Ваше беспокойство вполне реально. Большинство разработчиков и пользователей не понимают преимуществ использования SSL и других форм шифрования.
Вы можете гарантировать шифрование с помощью SSH Tunnel , хотя это гарантирует, что поток будет зашифрован только до точки выхода (которая будет сервером, к которому вы подключены). Это хорошо, если вы просто пытаетесь помешать вашему интернет-провайдеру шпионить за вами.
Другой способ — использовать TorProject Orbot . Это имеет в виду ту же идею, за исключением того, что вам не нужно будет предоставлять свой собственный туннельный сервер и получать выгоду от возможности изменить точку выхода по своему желанию. Orbot также использует несколько прокси-серверов, чтобы скрыть вашу личность. Конечно, вам предлагается принять участие и организовать эстафету , если это возможно.
Вот почему важно (особенно сейчас) использовать разные пароли для разных сайтов, поскольку некоторые сайты/сервисы не обеспечивают такой же уровень безопасности, как другие.
SSL в общедоступном Wi-Fi, хотя и гораздо более безопасный, чем незашифрованные потоки, не обеспечивает 100% отказоустойчивую защиту. К сожалению, корневые центры сертификации уязвимы для взлома , а некоторые (Trustwave) даже были уличены в выдаче сертификатов компаниям, которые, как они знали, не были владельцами веб-сайта СПЕЦИАЛЬНО, чтобы позволить этим компаниям следить за зашифрованными соединениями . Также легко отключить SSL в приложениях, не требующих безопасных соединений.
Однако у вас есть несколько вариантов, которые обеспечат вам более надежную защиту.
Вы можете использовать gpg для шифрования сообщений и данных с помощью открытого ключа предполагаемой цели.
Однопроходное шифрование имеет самый высокий уровень безопасности для определенных приложений.
Ваш телефон небезопасен. Вам решать, какие удобства вам нужны и как они повлияют на вашу безопасность. Есть много методов, которые помогут вам стать дисциплинированными и помогут минимизировать ваши риски, но, в конце концов, вы обязаны защищать то, что считаете личным. Я бы больше беспокоился о данных, которые каждое установленное вами приложение пытается разгрузить на свои серверы. Прочитайте «Разрешения» каждого приложения, которое вы устанавливаете, прежде чем загружать его, и решите, действительно ли оно нуждается в половине того, что заявлено.
максполк