Hm - das mit dem Fake-Ap kapiere ich nicht....
Wenn die Adressen über https aufgerufen werden - ist der Inhalt trotzdem erst mal sicher - ein heimliches aufbrechen der Verschlüsselung ist hier ja nicht möglich.
Rein theoretisch nicht, aber da sind Angriffsvektoren vorstellbar, die je nach use case möglich sind.
Stell dir vor, du willst die Seite der Deutschen Bank besuchen.
Du loggst dich dazu auf meinem AP ein. Ich stelle aber nicht nur einen Zugangspunkt und den Internetanschluss, sondern ich stelle dir auch einen DNS Server über den du Domains auflösen kannst/ wirst. Damit kann ich nicht nur deinen Traffic mitlesen, sondern ich kann dir auch falsche Kommunikationspartner unterjubeln.
Während du "deutsche-bank.de" kennst, um die Seite der Deutschen Bank aufzurufen, braucht der Computer IP Adressen und die bekommt er von meinem bösen DNS Server. Der wird nämlich nicht, wie zu erwarten, die tatsächliche IP Adresse von deutsche-bank.de [160.83.8.144] liefern, sondern eine manipulierte, die dich auf einen Webserver laufen lässt, der sich ebenfalls unter meiner Kontrolle befindet.
Der einzige Schutz, den du hast, ist SSL und selbst das kann ich unter Umständen aushebeln.
Da gibt es mehrere Möglichkeiten:
1. Mein Server leitet dich direkt auf eine unverschlüsselte Verbindung weiter. Du rufst
https://www.deutsche-bank.de auf und wirst auf
http://www.deutsche-bank.de weitergeleitet. Kein SSL, kein Schutz.
2. Mein Server leitet dich auf eine andere (ähnliche) Domain weiter. Du rufst
https://www.deutsche-bank.de auf, wirst auf
https://www.deutsch-bank.de weitergeleitet. Für die Domain kann ich mir natürlich ein gültiges, signiertes Zertifikat ausstellen lassen. Bemerken kannst du das nur an der Domain.
3. Ich gebe dir ein unsigniertes Zertifikat. Je nachdem, wie gut oder schlecht eine App programmiert wurde, fällt es der App nicht auf. Im Browser wird das auffallen, aber bei DAUs könnte der Angriff Erfolg haben.
4. Ich gebe dir ein ungültiges Zertifikat. Dazu kann ich dir ein Zertifikat geben, das für
https://www.deutsch-bank.de ausgestellt und signiert ist, aber eben nicht für deutsche-bank.de gültig ist. Hier könnte es bei schlecht programmierten Apps wieder zu Erfolg führen, ggf. auch wieder bei DAUs.
5. Ich gebe dir ein Zertifikat, das von einer anderen Zertifizierungsstelle signiert wurde. Die Deutsche Bank hat ihr Zertifikat von VerySign signieren lassen. Ich könnte mir ein Zertifikat für deutsche-bank.de erstellen und dieses beispielsweise durch DigiCert oder StartSSL signieren lassen. Dann habe ich ein für die Domain deutsche-bank.de gültiges, signiertes Zertifikat, dem dein Browser und jede App absolutes Vertrauen aussprechen werden. Dieser Angriff ist äußerst schwer zu entdecken, denn dein Browser wird dir die gleiche grüne Adressbar anzeigen, wie du es von der echten deutsche-bank.de Seite gewohnt bist. Du müsstest also jedes mal prüfen, ob die Zertifizierungsstelle korrekt ist. Das kann der Computer nicht automatisiert prüfen und vermutlich wissen selbst die Leute, die sich mit SSL auskennen nicht für jede Seite, von welchem Anbieter sie ihr Zertifikat hat signieren lassen.
Am heutigen Freitag wurde im Bundestag ein Gesetzentwurf der Oppositionsfraktionen zur Abschaffung der Störerhaftung ("Gesetzentwurf zur Verbesserung der Rechtssicherheit bei WLAN-Betreibern" (PDF)) debattiert. In dem Entwurf geht es darum, dass private Betreiber von offenen WLANs bei der Haftung mit kommerziellen Providern gleichgestellt werden sollen. Hier soll dem Betreiber Rechtssicherheit gegeben werden, damit er nicht für von fremden WLAN-Nutzern für Rechtsverletzungen über seinem offenen privaten WLAN-Hotspot abgemahnt werden kann.
