Le hotspot mobile présente-t-il des failles de sécurité dans les anciens téléphones ?

Android sort fréquemment Bulletins de sécurité pour remédier à un certain nombre de vulnérabilités au niveau du système d'exploitation et du matériel. Donc, en règle générale, plus c'est récent, mieux c'est et plus c'est sûr. Mais si vous souhaitez simplement utiliser un hotspot, il n'est pas très difficile d'appliquer les mesures de sécurité de base.

L'utilisation comme hotspot signifie que votre téléphone fonctionne comme un routeur. Les routeurs ont des pare-feu intégrés pour une meilleure protection, et certaines fonctions avancées comme la redirection de port, la DMZ, l'UPnP, la QoS, le VPN, les AP multiples, RADIUS, NTP, le serveur DHCP, le serveur DNS, le DNS dynamique, les fonctions VoIP (SIP ALG et autres), le portail captif, le reniflage du trafic / DPI, l'anti-malware, etc. Un téléphone Android normal offre certaines de ces fonctions d'emblée ; le NAT de base, netfilter (iptables) un pare-feu, un point d'accès (AP) avec cryptage WPA2 et un serveur DHCP/DNS.

En outre, si vous êtes un technicien averti, vous pouvez également définir vos propres règles de pare-feu et de transfert de port, configurer un VPN, etc. Ce ne sont là que quelques exemples de ce que l'on peut faire facilement :

• Android utilise dnsmasq comme serveur DHCP et DNS. Vous pouvez modifier /etc/dnsmasq.conf pour vous mettre sur une liste blanche d'adresses MAC/IP en attribuant des IP fixes aux MAC (options dhcp-host= y dhcp-range= ) afin que seuls vos appareils configurés obtiennent une IP du serveur DHCP.
• Configurer dnsmasq pour écouter uniquement sur l'interface du réseau local et non sur l'interface Internet.
• Android utilise hostapd pour créer un hotspot. Configurez le filtre MAC dans hostapd.conf (options macaddr_acl=1 y accept_mac_file ) afin qu'aucun autre ne puisse se connecter à votre téléphone.
• Configurer hostapd d'offrir au moins WPA2 PSK cryptage (option wpa=2 ).
• Configurer hostapd pour masquer le SSID (option ignore_broadcast_ssid=1 ).
• Configurez une longueur d'au moins 12 caractères Pre-Shared Key (PSK) (option wpa_psk o wpa_passphrase ).
• Exécutez un serveur DNS sur HTTPS (DoH) tel que dnscrypt-proxy . Ou au moins définir le serveur DNS dans dnsmasq.conf (option server= ) vers un DNS public de confiance comme 1.1.1.1 .
• Mise à jour /etc/hosts et/ou dnscrypt-proxy le fichier de liste noire d'une source fiable comme celui-ci pour bloquer les publicités et les sites web nuisibles.
• Assurez-vous que vous n'avez pas de ports d'écoute (en exécutant ss -ltup ) sauf dnsmasq Le port 67 (DHCP) et 53 (DNS) de l'ordinateur.
• Assurez-vous que vous n'avez pas de règles de transfert de port définies (en exécutant iptables -S FORWARD ) sauf celle définie pour hotspot .
• Bloquer tous les nouveaux paquets entrants. S ce .
• Désactiver la réponse d'écho ICMP. Voir ce .
• Bloquer tous les UIDs non-Root pour OUTPUT (sauf si hotspot utilise un UID non-Root) pour s'assurer qu'aucune application n'utilise de données.
• Envisagez également de n'autoriser que les ports de destination requis, tels que 80 et 443, si vous n'avez besoin que de naviguer sur le Web. Autorisez d'autres ports comme SIP/RTP/FTP/SFTP/SMB etc. si nécessaire.
• Désinstallez toutes les applications de l'utilisateur pour économiser la batterie et le trafic Internet.
• Désactivez toutes les applications système que vous jugez inutiles, notamment les GApps, les nettoyeurs, les optimiseurs de système, les anti-malware, etc.

Cependant, si vous aimez jouer avec votre téléphone, envisagez de mettre en place un système d'exploitation pour routeur, tel que Zeroshell sur votre téléphone.

Mais même si vous ne prenez pas de mesures supplémentaires sur votre téléphone, la sécurité de votre ordinateur portable est suffisante (pour un ordinateur portable) si elle est configurée correctement.