अगर मैं हॉटस्पॉट में मुफ्त वाईफाई का उपयोग करता हूं, तो क्या डेटा आसानी से सूँघा जा सकता है?


21

अगर मैं अपने मोबाइल डिवाइस का उपयोग Wifi हॉटस्पॉट में करता हूं, तो क्या मैं इसे ले सकता हूं कि इसमें उतने ही जोखिम हैं जितने कि उस डेटा में लैपटॉप का उपयोग करके आसानी से सूँघा जा सकता है और यह कि मोबाइल डिवाइस मैन-इन-द-बीच के हमलों के लिए भी खुला है?


9
यह ध्यान देने योग्य है कि एक खुली वाईफाई में हर उपयोगकर्ता आसानी से पढ़ सकता है जो सभी उपयोगकर्ता भेज रहे हैं। हालांकि, एक WPA- संरक्षित नेटवर्क में, भले ही एक्सेस कुंजी "सार्वजनिक" ज्ञान हो, प्रत्येक कंप्यूटर को अभी भी अपना निजी क्रिप्टोग्राफिक "चैनल" मिलता है, जो अन्य जुड़े हुए कंप्यूटरों से बहुत बड़ा प्रयास करता है। फिर भी, वास्तव में निजी होने का एकमात्र तरीका केवल क्लाइंट-सर्वर-सिक्योर कनेक्शन ( HTTPS ) का उपयोग करना है, और वास्तव में, वास्तव में निश्चित रूप से ज्ञात साइटों के लिए पूर्व-संग्रहीत दूरस्थ प्रमाणपत्र का उपयोग करें और प्रमाणपत्र परिवर्तनों के बारे में अलर्ट प्राप्त करने के लिए कुछ विधि का उपयोग करें।
इलारी काजस्ट

@ इलारी काजस्ट - मुझे ज्ञात साइटों के लिए प्री-स्टोर किए गए रिमोट सर्टिफिकेट कैसे मिल सकते हैं या क्या मैं उन्हें मोबाइल डिवाइस पर डाउनलोड कर सकता हूं?
मूँगफली के दाने

व्यक्तिगत रूप से, मेरा मानना ​​है कि स्पूफ सर्टिफिकेट MITM परिदृश्य को काफी हद तक नजरअंदाज किया जाता है। डेस्कटॉप के लिए सर्टिफिकेट पैट्रोल नामक फ़ायरफ़ॉक्स एक्सटेंशन है । इसका उपयोग करते हुए, आप सबसे पहले सभी साइटों पर जा सकते हैं और उसके बाद विस्तार से आपको सूचित करेंगे कि क्या उनके प्रमाण पत्र बदल गए हैं। हालाँकि, मुझे नहीं पता कि एंड्रॉइड के लिए कुछ समान उपलब्ध है या नहीं।
इलारी काजस्ट

1
काफी जवाब नहीं है, लेकिन WifiKill नाम का एक ऐप है जो एक ही नेटवर्क पर आपके फोन पर ट्रैफ़िक रीडायरेक्ट कर सकता है, और इंटरनेट कनेक्शन को "मार" सकता है। इसलिए, मुझे लगता है कि अगर यह एन्क्रिप्टेड नहीं है तो डेटा को सिर्फ "सूँघना" मुश्किल नहीं होगा। forum.xda-developers.com/showthread.php?t=1282900
jadkik94

इसे भी देखें: खुले वाईफाई और क्या एंड्रॉइड समन्वयन डेटा की सुरक्षा जोखिम एन्क्रिप्टेड है? जो दोनों खुले वाईफाई के सुरक्षा जोखिम पर बहुत अधिक है
GAThrawn

जवाबों:


21

हां, आप एक ही जोखिम के अधीन हैं जैसा कि आपके पास लैपटॉप में होगा (या कोई भी उपकरण जो वायरलेस नेटवर्क से कनेक्ट होता है, उस मामले के लिए); उनसे बचने के लिए, मानक सुरक्षा प्रक्रियाएं लागू होती हैं: अनएन्क्रिप्टेड कनेक्शन का उपयोग न करें, जिन पर आप भरोसा नहीं करते हैं और हमेशा ब्राउज़िंग के लिए HTTPS पसंद करते हैं।


क्या सुरक्षा के समान सिद्धांत लागू होंगे या वे अलग हैं?
मूँगफली के दाने

3
उन्हीं सिद्धांतों को किसी भी उपकरण के लिए लागू किया जा सकता है जो वायरलेस पर कनेक्ट होता है: केवल HTTPS वेब पेज का उपयोग करें, अविश्वासित वायरलेस नेटवर्क आदि का उपयोग न करें ...
Renan

6

हाँ। 2 अलग-अलग समस्याएं हैं:

उ। एक हमलावर सूँघने और / या सभी ट्रैफ़िक को आरपी-स्पूफिंग के ज़रिए पुनर्निर्देशित करता है।

दो अलग-अलग एंड्रॉइड एप्लिकेशन पहले से ही ऐसा करते हैं (पाठ्यक्रम के बाजार से प्रतिबंधित)। कृपया ध्यान दें कि उन्हें अपने देश में स्थापित और परीक्षण करना अवैध हो सकता है!

  • फेसलिफ़ ने लॉग ऑन क्रेडेंशियल्स में फ़्लॉप करने और फ़ेसबुक अकाउंट्स और इसी तरह से लेने की अनुमति नहीं देता है।
  • Droidsheep प्रभावी रूप से समान है

B. एक हमलावर जो हॉटस्पॉट के रूप में प्रतिरूपण कर रहा है ।

अधिक गंभीर एक, मुझे लगता है। यह आपके फोन को किसी भी समय अपहरण करने की अनुमति देता है यदि आप पहले से एक प्रसिद्ध हॉट-स्पॉट प्रदाता से जुड़े हैं।

आपका एंड्रॉइड फोन आमतौर पर एक्सेसपॉइंट्स ESSID द्वारा ज्ञात हॉटस्पॉट्स को याद करता है (यह नाम है) और किसी भी समय इसे फिर से कनेक्ट करने की कोशिश करता है, ऐसे ESSID को उपयोग में आसानी के लिए फिर से देखता है। यह एक हमलावर को इस तरह के एक प्रसिद्ध ईएसएसआईडी को स्थापित करने की अनुमति देता है और आपका फोन खुशी से इसके साथ जुड़ जाएगा। क्योंकि कोई arp-spoofing शामिल नहीं होगा, आप इस व्यवहार का आसानी से पता नहीं लगा सकते हैं।

बस इसे स्वयं आज़माएं, एक प्रसिद्ध हॉटस्पॉट ईएसएसआईडी का उपयोग करके अपने फोन को एक अनएन्क्रिप्टेड हॉटस्पॉट डिवाइस के रूप में सेट करें और देखें कि आपको कितने समय में कितने कनेक्शन मिलते हैं ... इस तरह के ईएसएसआईडी का उपयोग करना शायद अवैध भी नहीं है और आपके उपयोग करने में किसी को धोखा नहीं दिया जाता है। या तो कनेक्शन।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.