¿Tiene el hotspot móvil vulnerabilidades de seguridad en los teléfonos más antiguos?

Los lanzamientos de Android son frecuentes Boletines de seguridad para abordar una serie de vulnerabilidades a nivel de sistema operativo y de hardware. Así que, como regla general, cuanto más nuevo, mejor y más seguro. Pero si sólo quieres usar el hotspot, no es muy difícil aplicar las medidas de seguridad básicas.

Usar como hotspot significa que tu teléfono está funcionando como un router. Los routers tienen cortafuegos incorporados para una mejor protección, y algunas características avanzadas como el reenvío de puertos, DMZ, UPnP, QoS, VPN, múltiples AP, RADIUS, NTP, servidor DHCP, servidor DNS, DNS dinámico, características de VoIP (SIP ALG y otros), portal cautivo, sniffing de tráfico / DPI, anti-malware, etc. Un teléfono Android normal ofrece algunas de estas funciones desde el principio; el NAT básico, netfilter (iptables) cortafuegos, punto de acceso (AP) con cifrado WPA2 y un servidor DHCP/DNS.

Además, si eres un experto en tecnología, también puedes definir tus propias reglas de firewall, reglas de reenvío de puertos, configurar una VPN, etc. Se me ocurren algunas cosas que se pueden hacer fácilmente:

• Android utiliza dnsmasq como servidor DHCP y DNS. Puede editar /etc/dnsmasq.conf para poner en lista blanca sus direcciones MAC/IP asignando IPs fijas a las MACs (opciones dhcp-host= y dhcp-range= ) para que sólo sus dispositivos configurados obtengan una IP del servidor DHCP.
• Configurar dnsmasq para escuchar sólo en la interfaz de la red local y no desde la interfaz orientada a Internet.
• Android utiliza hostapd para crear un hotspot. Configurar el filtro MAC en hostapd.conf (opciones macaddr_acl=1 y accept_mac_file ) para que ningún otro pueda conectarse a tu teléfono.
• Configurar hostapd para ofrecer al menos WPA2 PSK codificación (opción wpa=2 ).
• Configurar hostapd para ocultar el SSID (opción ignore_broadcast_ssid=1 ).
• Configurar al menos 12 caracteres de longitud Pre-Shared Key (PSK) (opción wpa_psk o wpa_passphrase ).
• Ejecute un servidor de DNS sobre HTTPS (DoH) como dnscrypt-proxy . O al menos establecer el servidor DNS en dnsmasq.conf (opción server= ) a algún DNS público de confianza como 1.1.1.1 .
• Actualización /etc/hosts archivo y/o dnscrypt-proxy archivo de la lista negra de alguna fuente de confianza como este para bloquear anuncios y sitios web dañinos.
• Asegúrese de que no tiene ningún puerto de escucha (ejecutando ss -ltup ) excepto dnsmasq El puerto 67 (DHCP) y el 53 (DNS).
• Asegúrese de que no tiene definida ninguna regla de reenvío de puertos (ejecutando iptables -S FORWARD ) excepto la definida para hotspot .
• Bloquear todos los paquetes nuevos entrantes. Ver este .
• Desactivar la respuesta eco ICMP. Ver este .
• Bloquear todos los UID que no sean Raíces para OUTPUT cadena (excepto si hotspot utiliza algún UID que no sea el de root) para garantizar que ninguna aplicación utilice ningún dato.
• Considere también la posibilidad de permitir sólo los puertos de destino requeridos, como el 80 y el 443, si sólo necesita navegar por la web. Permita otros como SIP/RTP/FTP/SFTP/SMB etc. si es necesario.
• Desinstala todas las aplicaciones del usuario para ahorrar batería y tráfico de Internet.
• Desactiva las aplicaciones del sistema que consideres innecesarias, especialmente las aplicaciones G, los limpiadores, los optimizadores del sistema, los antimalware, etc.

Aun así, si te gusta jugar con el teléfono, considera la posibilidad de configurar algún sistema operativo para routers como Zeroshell en tu teléfono.

Pero incluso si no tomas ninguna medida extra en el teléfono, la seguridad del portátil es suficiente (para el portátil) si se configura correctamente.