tl;dr

とだけ言っておくのが最も正確なように思う。現状のOS/ネットワーク環境であれば問題は対面の火事場泥棒くらいしか残らないので脅威は大きくない。

残件

公衆無線LANのAPが設置されるのは通例で、実際VPN通せ派と最近の通信はHTTPSなんだから大丈夫だろ派がある

https://twitter.com/HiromitsuTakagi/status/1742138671589965945

実際誤りとして認めた(カード番号やパスワードを入れても良い)という話もあるらしい

https://twitter.com/esumii/status/1742147876581720407

もっとも現実的な脅威は偽Captive portalを作られ、一見便利なリンク集を出しておいて、そこから入ってくる人をキャッチする手法だろうか。無料に見せかけて利用前にはカード番号の入力が必要ですとやる火事場泥棒パターン。

金融系のサービス等他の用途でご利用の場合は、セキュリティの確保された専用アプリの利用や

の部分は正しいように思う。つまり専用アプリ最強。少くとも今のAndroidやiPhoneは偽ストアは存在できないし。メジャーな銀行にせよキャッシュレス決済系にせよアプリを出しているので普段から使うべきと言える。

よって、安全を取ると "公衆無線LANに繋いだらアプリストアからアプリ入れろ" になるが、アプリストアはそれなりの通信量があり、そもそもアプリストアには災害モードが無いので適切なアプリをおすすめできない。

これは地味に問題な気もする。一応動画を自動再生しないみたいな設定は存在する。

キャプティブポータルはe-mail認証の代替としてSNS認証を使っており、そこで認証情報を窃取するパターンのようだ。常識的なパスワードマネージャを使っていれば防げる。